IP8800/A260トラブルシューティングガイド

Transcription

1 IP8800/A260 トラブルシューティングガイド IP88A26-T マニュアルはよく読み, 保管してください 製品を使用する前に, 安全上の説明を読み, 十分理解してください このマニュアルは, いつでも参照できるよう, 手近な所に保管してください

2 対象製品 このマニュアルは IP8800/A260 モデルを対象に記載しています 輸出時の注意本製品を輸出される場合には, 外国為替及び外国貿易法の規制ならびに米国の輸出管理規則など外国の輸出関連法規をご確認のうえ, 必要な手続きをお取りください なお, 不明な場合は, 弊社担当営業にお問い合わせください 商標一覧 Ethernet は, 富士ゼロックス株式会社の登録商標です GSRP は, アラクサラネットワークス株式会社の登録商標です Internet Explorer は, 米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です IPX は,Novell,Inc. の商標です Microsoft は, 米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です Windows は, 米国 Microsoft Corporation の米国およびその他の国における登録商標または商標です sflow は, 米国およびその他の国における米国 InMon Corp. の登録商標です イーサネットは, 富士ゼロックス株式会社の登録商標です そのほかの記載の会社名, 製品名は, それぞれの会社の商標もしくは登録商標です マニュアルはよく読み, 保管してください 製品を使用する前に, 安全上の説明をよく読み, 十分理解してください このマニュアルは, いつでも参照できるよう, 手近な所に保管してください ご注意 このマニュアルの内容については, 改良のため, 予告なく変更する場合があります 発行 2018 年 3 月 ( 第 5 版 ) IP88A26-T 著作権 Copyright(C) NEC Corporation 2016,2018. All rights reserved.

3 変更履歴 第 5 版 表変更履歴 章タイトル 追加 変更内容 コマンドを入力できない 対応内容を変更しました 付録 A show tech-support コマンド表示内容詳細 表示内容詳細の記述を訂正しました なお, 単なる誤字 脱字などはお断りなく訂正しました 第 4 版 表変更履歴 章タイトル 付録 A show tech-support コマンド表示内容詳細 追加 変更内容 表示内容詳細の記述を訂正しました 第 3 版 表変更履歴 章タイトル 付録 A show tech-support コマンド表示内容詳細 追加 変更内容 表示内容詳細の記述を訂正しました 第 2 版 表変更履歴 章タイトル 追加 変更内容 はじめに 運用コマンド ppupdate でアップデートできない 運用コマンド restore で復元できない 本バージョンでご使用時の注意事項 の記述を変更しました 確認するログの記述を変更しました 確認するログの記述を変更しました

4

5 はじめに 対象製品およびソフトウェアバージョンこのマニュアルは IP8800/A260 モデルを対象に記載しています また,IP8800/A260 のソフトウェア Ver.4.10 の機能について記載しています ソフトウェア機能は, ソフトウェア OS-L2F, およびオプションライセンスによってサポートする機能について記載します 操作を行う前にこのマニュアルをよく読み, 書かれている指示や注意を十分に理解してください このマニュアルは必要なときにすぐ参照できるよう使いやすい場所に保管してください なお, このマニュアルでは特に断らないかぎり IP8800/A260 に共通の機能について記載しますが, モデル固有の機能については以下のマークで示します 08TF : IP8800/A260-08TF についての記述です 08T : IP8800/A260-08T についての記述です また, オプションライセンスの機能については以下のマークで示します OP-WL : オプションライセンス OP-WL についての記述です OP-WLE : オプションライセンス OP-WLE についての記述です 本バージョンでご使用時の注意事項本バージョンは, 以下の機能に制限がありますので, 当該機能に関するコマンドはご使用にならないでください 本バージョンでの制限事項 ( 未サポート項目 ) 対象機能サポート項目制限事項 ( 未サポート ) OAN - 全機能 このマニュアルの訂正についてこのマニュアルに記載の内容は, ソフトウェアと共に提供する リリースノート および マニュアル訂正資料 で訂正する場合があります 対象読者本装置を利用したネットワークシステムを構築し, 運用するシステム管理者の方を対象としています また, 次に示す知識を理解していることを前提としています ネットワークシステム管理の基礎的な知識 このマニュアルの URL このマニュアルの内容は下記 URL に掲載しておりますので, あわせてご利用ください マニュアルの読書手順本装置の導入, セットアップ, 日常運用までの作業フローに従って, それぞれの場合に参照するマニュアルを次 に示します I

6 はじめに このマニュアルでの表記 AC Alternating Current ACK ACKnowledge ADSL Asymmetric Digital Subscriber Line ALG Application Level Gateway ANSI American National Standards Institute ARP Address Resolution Protocol AS Autonomous System AUX Auxiliary BGP Border Gateway Protocol BGP4 Border Gateway Protocol - version 4 BGP4+ Multiprotocol Extensions for Border Gateway Protocol - version 4 bit/s bits per second *bpsと表記する場合もあります BPDU Bridge Protocol Data Unit BRI Basic Rate Interface CC Continuity Check II

7 はじめに CDP Cisco Discovery Protocol CFM Connectivity Fault Management CIDR Classless Inter-Domain Routing CIR Committed Information Rate CIST Common and Internal Spanning Tree CLNP ConnectionLess Network Protocol CLNS ConnectionLess Network System CONS Connection Oriented Network System CRC Cyclic Redundancy Check CSMA/CD Carrier Sense Multiple Access with Collision Detection CSNP Complete Sequence Numbers PDU CST Common Spanning Tree DA Destination Address DC Direct Current DCE Data Circuit terminating Equipment DHCP Dynamic Host Configuration Protocol DIS Draft International Standard/Designated Intermediate System DNS Domain Name System DR Designated Router DSAP Destination Service Access Point DSCP Differentiated Services Code Point DTE Data Terminal Equipment DVMRP Distance Vector Multicast Routing Protocol Electronic Mail EAP Extensible Authentication Protocol EAPOL EAP Over LAN EFM Ethernet in the First Mile ES End System FAN Fan Unit FCS Frame Check Sequence FDB Filtering DataBase FQDN Fully Qualified Domain Name FTTH Fiber To The Home GBIC GigaBit Interface Converter GSRP Gigabit Switch Redundancy Protocol HMAC Keyed-Hashing for Message Authentication IANA Internet Assigned Numbers Authority ICMP Internet Control Message Protocol ICMPv6 Internet Control Message Protocol version 6 ID Identifier IEC International Electrotechnical Commission IEEE Institute of Electrical and Electronics Engineers, Inc. IETF the Internet Engineering Task Force IGMP Internet Group Management Protocol IP Internet Protocol IPCP IP Control Protocol IPv4 Internet Protocol version 4 IPv6 Internet Protocol version 6 IPV6CP IP Version 6 Control Protocol IPX Internetwork Packet Exchange ISO International Organization for Standardization ISP Internet Service Provider IST Internal Spanning Tree L2LD Layer 2 Loop Detection LAN Local Area Network LCP Link Control Protocol LED Light Emitting Diode LLC Logical Link Control LLDP Link Layer Discovery Protocol LLQ+3WFQ Low Latency Queueing + 3 Weighted Fair Queueing LSP Label Switched Path LSP Link State PDU LSR Label Switched Router MA Maintenance Association MAC Media Access Control MC Memory Card MD5 Message Digest 5 MDI Medium Dependent Interface MDI-X Medium Dependent Interface crossover MEP Maintenance association End Point MIB Management Information Base MIP Maintenance domain Intermediate Point MLD Multicast Listener Discovery MRU Maximum Receive Unit III

8 はじめに MSTI Multiple Spanning Tree Instance MSTP Multiple Spanning Tree Protocol MTU Maximum Transfer Unit NAK Not AcKnowledge NAS Network Access Server NAT Network Address Translation NCP Network Control Protocol NDP Neighbor Discovery Protocol NET Network Entity Title NLA ID Next-Level Aggregation Identifier NPDU Network Protocol Data Unit NSAP Network Service Access Point NSSA Not So Stubby Area NTP Network Time Protocol OADP Octpower Auto Discovery Protocol OAM Operations,Administration,and Maintenance OSPF Open Shortest Path First OUI Organizationally Unique Identifier packet/s packets per second *ppsと表記する場合もあります PAD PADding PAE Port Access Entity PC Personal Computer PCI Protocol Control Information PDU Protocol Data Unit PICS Protocol Implementation Conformance Statement PID Protocol IDentifier PIM Protocol Independent Multicast PIM-DM Protocol Independent Multicast-Dense Mode PIM-SM Protocol Independent Multicast-Sparse Mode PIM-SSM Protocol Independent Multicast-Source Specific Multicast PoE Power over Ethernet PRI Primary Rate Interface PS Power Supply PSNP Partial Sequence Numbers PDU QoS Quality of Service RA Router Advertisement RADIUS Remote Authentication Dial In User Service RDI Remote Defect Indication REJ REJect RFC Request For Comments RIP Routing Information Protocol RIPng Routing Information Protocol next generation RMON Remote Network Monitoring MIB RPF Reverse Path Forwarding RQ ReQuest RSTP Rapid Spanning Tree Protocol SA Source Address SD Secure Digital SDH Synchronous Digital Hierarchy SDU Service Data Unit SEL NSAP SELector SFD Start Frame Delimiter SFP Small Form factor Pluggable SFP+ Enhanced Small Form factor Pluggable SML Split Multi Link SMTP Simple Mail Transfer Protocol SNAP Sub-Network Access Protocol SNMP Simple Network Management Protocol SNP Sequence Numbers PDU SNPA Subnetwork Point of Attachment SPF Shortest Path First SSAP Source Service Access Point STP Spanning Tree Protocol TA Terminal Adapter TACACS+ Terminal Access Controller Access Control System Plus TCP/IP Transmission Control Protocol/Internet Protocol TLA ID Top-Level Aggregation Identifier TLV Type, Length, and Value TOS Type Of Service TPID Tag Protocol Identifier TTL Time To Live UDLD Uni-Directional Link Detection UDP User Datagram Protocol ULR Uplink Redundant IV

9 はじめに UPC UPC-RED VAA VLAN VRRP WAN WDM WFQ WRED WS WWW XFP Usage Parameter Control Usage Parameter Control - Random Early Detection VLAN Access Agent Virtual LAN Virtual Router Redundancy Protocol Wide Area Network Wavelength Division Multiplexing Weighted Fair Queueing Weighted Random Early Detection Work Station World-Wide Web 10 gigabit small Form factor Pluggable kb( バイト ) などの単位表記について 1kB( キロバイト ),1MB( メガバイト ),1GB( ギガバイト ),1TB( テラバイト ) はそれぞれ 1,024 バイト, 1,024 2 バイト,1,024 3 バイト,1,024 4 バイトです V

10

11 目次 はじめに I 1 概要 障害解析概要 装置および装置一部障害解析概要 機能障害解析概要 5 2 装置障害におけるトラブルシュート 装置障害の対応手順 装置障害の対応手順 装置およびオプション機構の交換方法 9 3 運用中機能障害におけるトラブルシュート ログインのトラブル ログインユーザのパスワードを忘れてしまった 装置管理者のパスワードを忘れてしまった 運用端末のトラブル コンソールからの入力, 表示がうまくできない リモート運用端末からログインできない RADIUS を利用したログイン認証ができない コマンドを入力できない ファイル保存のトラブル スタートアップコンフィグレーションファイルに保存できない MC にコピーできない, または書き込みできない RAMDISK にコピーできない, または書き込みできない 運用コマンド ppupdate でアップデートできない 運用コマンド restore で復元できない バインディングデータベースを保存または復元できない ネットワークインタフェースの通信障害 イーサネットポートの接続ができない BASE-T/100BASE-TX/1000BASE-T のトラブル発生時の対応 BASE-X のトラブル発生時の対応 リンクアグリゲーション使用時の通信障害 レイヤ 2 ネットワークの通信障害 VLAN によるレイヤ 2 通信ができない スパニングツリー機能使用時の障害 Ring Protocol 機能使用時の障害 IGMP snooping によるマルチキャスト中継ができない 32 i

12 目次 MLD snooping によるマルチキャスト中継ができない IPv4 ネットワークの通信障害 通信できない, または切断されている DHCP サーバ使用時の通信障害 IPv6 ネットワークの通信障害 通信できない, または切断されている レイヤ 2 認証の通信障害 IEEE802.1X 使用時の通信障害 Web 認証使用時の通信障害 MAC 認証使用時の通信障害 セキュリティ機能の通信障害 DHCP snooping 機能使用時の障害 ホワイトリスト機能の通信障害 冗長構成による高信頼化機能の通信障害 アップリンク リダンダント使用時の通信障害 SNMP の通信障害 SNMP マネージャから MIB の取得ができない SNMP マネージャでトラップが受信できない SNMPv3 を使用できなくなった場合 sflow 統計 ( フロー統計 ) 機能のトラブルシューティング sflow パケットがコレクタに届かない フローサンプルがコレクタに届かない カウンタサンプルがコレクタに届かない 隣接装置管理機能の通信障害 LLDP 機能により隣接装置情報が取得できない NTP の通信障害 NTP サーバから時刻情報が取得できない IEEE802.3ah/UDLD 機能の通信障害 IEEE802.3ah/UDLD 機能でポートが inactive 状態となる フィルタ QoS 設定で生じる通信障害 フィルタ QoS 設定情報の確認 ポートミラーリングの障害 ミラーポートから BPDU が送出される 省電力機能の障害 LED 輝度が動作しない 省電力スケジューリングが動作しない 温度監視対応時の障害 温度履歴情報の日付が正しく表示されない 76 4 障害情報取得方法 障害情報の取得 78 ii

13 目次 4.2 MC への書き込み FTP によるファイル転送 80 5 回線のテスト 回線をテストする モジュール内部ループバックテスト ループコネクタループバックテスト ループコネクタの作成方法 84 付録 87 付録 A show tech-support コマンド表示内容詳細 88 付録 A.1 show tech-support コマンド表示内容詳細 88 索引 93 iii

14

15 1 概要 この章では, 障害解析の概要について説明します 1.1 障害解析概要 1.2 装置および装置一部障害解析概要 1.3 機能障害解析概要 1

16 1. 概要 1.1 障害解析概要 このマニュアルは,IP8800/A260 の装置に問題がある場合に利用してください 装置を目視で直接確認する場合は 1.2 装置および装置一部障害解析概要 に沿って解析を進めてください 装置にログインして確認する場合は 1.3 機能障害解析概要 に沿って解析を進めてください 2

17 1. 概要 1.2 装置および装置一部障害解析概要 運用中に障害が発生し, 装置を目視で直接確認できる場合は, 2.1 装置障害の対応手順 の対策内容に従ってトラブルシュートしてください 装置の LED については, 次の図および 表 1-1 LED の表示, スイッチ, コネクタ に IP8800/ A260-08TF の例を示すので参考にしてください 図 1-1 正面パネルレイアウト 表 1-1 LED の表示, スイッチ, コネクタ 番号名称種類状態内容 (1) PWR LED: 緑 電源の投入状態を示す 緑点灯 : 電源 ON 長い間隔の緑点滅 : 装置スリープ中 消灯 : 電源 OFF, または電源異常 (2) ST1 LED: 緑 / 橙 / 赤 装置の状態を示す 緑点灯 : 動作可能 緑点滅 : 準備中, または運用コマンド reload stop で停止中長い間隔の緑点滅 : LED 動作の消灯設定 橙点灯 : 電源投入時の初期状態 赤点滅 : 装置の部分障害発生 赤点灯 : 装置の致命的障害発生 ( 継続使用不可 ) 消灯 : 電源 OFF, または電源異常 (3) ST2 LED: 橙未使用橙点灯 : 電源投入時の初期状態 消灯 : 通常運用中 (4) MC コネクタメモリカードスロットメモリカードスロット (5) ACC LED: 緑 メモリカードの状態を示す 緑点灯 : メモリカードアクセス中 ( メモリカード取り外し禁止 ) 消灯 : メモリカードアイドル中 ( メモリカード取り 付け, 取り外し可能 ) (6) CONSOLE コネクタ CONSOLE ポート コンソール端末接続用 RS-232C ポート (7) LINK LED: 緑 / 橙 SFP(1000BASE-X) の イーサネットポートの動作 状態を示す 緑点灯 : 電源投入時の初期状態, またはリンク確立 橙点灯 : 回線障害検出 消灯 : ST1 LED が緑点灯の場合, リンク障害, または閉塞 (8) T/R LED: 緑緑点滅 : フレーム送受信中 (9) 1-8 LED: 緑 10/100/1000BASE-T イーサ ネットポートの動作状態を 示す 緑点灯 : 電源投入時の初期状態, またはリンク確立 緑点滅 : リンク確立およびフレーム送受信中 消灯 : ST1 LED が緑点灯の場合, リンク障害, または閉塞 3

18 1. 概要 番号名称種類状態内容 (10) RESET スイッチ ( ノンロック ) (11) MODE スイッチ ( ノンロック ) 装置のマニュアルリセットスイッチ *1 未サポート 装置を再起動する スイッチを正面の LED が全点灯するまで長押し (3 秒以上 ) することで装置スリープ状態を解除します - 1 スイッチは正面パネルより奥にあります 先の細いドライバなどを使用して押してください 図 1-1, 表 1-1 は代表的な装置を例示しています 各装置について詳細を知りたい場合には ハードウェア取扱説明書 を参照してください 4

19 1. 概要 1.3 機能障害解析概要 本装置の機能障害解析概要を次の表に示します 表 1-2 機能障害の状況と参照箇所 大項目中項目参照箇所 ログインパスワードを忘れた ログインユーザのパスワード忘れ ログインユーザのパスワードを忘れてし まった 装置管理者のパスワードを忘れてしまった 運用端末のトラブル コンソール入力 表示不可 コンソールからの入力, 表示がうまくでき ない リモートログインできない リモート運用端末からログインできない ログイン認証ができない RADIUS を利用したログイン認証ができな い コマンドを入力できない コマンドを入力できない ファイル保存のトラブル スタートアップコンフィグレーションファイルにコピーできない スタートアップコンフィグレーションファイルに保存できない MC にコピーできない MC にコピーできない, または書き込みで きない RAMDISK にコピーできない RAMDISK にコピーできない, または書き込みできない 運用コマンド ppupdate でアップデートできない 運用コマンド restore で復元できない バインディングデータベースを保存または復元できない 運用コマンド ppupdate でアップデートできない 運用コマンド restore で復元できない バインディングデータベースを保存または復元できない ネットワークインタフェースの通信障害 イーサネットポートの通信障害 イーサネットポートの接続ができない 10BASE-T/100BASE-TX/ 1000BASE-T の通信障害 BASE-T/100BASE-TX/1000BASE-T のトラブル発生時の対応 1000BASE-X の通信障害 BASE-X のトラブル発生時の対応 リンクアグリゲーションでの障害 リンクアグリゲーション使用時の通信障害 レイヤ 2 ネットワークの通信障害 VLAN 障害 VLAN によるレイヤ 2 通信ができない スパニングツリー障害 スパニングツリー機能使用時の障害 Ring Protocol 障害 Ring Protocol 機能使用時の障害 IGMP snooping 障害 IGMP snooping によるマルチキャスト中継ができない MLD snooping 障害 MLD snooping によるマルチキャスト中継ができない IPv4 ネットワークの通信障害通信ができない 通信できない, または切断されている DHCP サーバから IP アドレスが割り振られない DHCP サーバ使用時の通信障害 5

20 1. 概要 大項目 中項目 参照箇所 IPv6 ネットワークの通信障害 通信ができない 通信できない, または切断されている レイヤ 2 認証の通信障害 IEEE802.1X 使用時の通信障害 Web 認証使用時の通信障害 MAC 認証使用時の通信障害 セキュリティ機能の通信障害 DHCP snooping 障害 DHCP snooping 機能使用時の障害 ホワイトリスト機能の通信障害 ホワイトリスト機能の通信障害 冗長構成による高信頼化機能の通信障害 アップリンク リダンダントの障害 アップリンク リダンダント使用時の通 信障害 SNMP の通信障害 MIB が取得できない SNMP マネージャから MIB の取得がで きない トラップ受信不可 SNMP マネージャでトラップが受信でき ない SNMPv3 を使用できない SNMPv3 を使用できなくなった場合 sflow 統計の障害 sflow パケットが届かない sflow パケットがコレクタに届かない フローサンプルが届かない フローサンプルがコレクタに届かない カウンタサンプルが届かない カウンタサンプルがコレクタに届かない LLDP 機能で隣接装置情報を取得できない LLDP 機能により隣接装置情報が取得で きない NTP の通信障害 NTP の通信障害 IEEE802.3ah/UDLD 機能使用時の通信障害 ポートが inactive 状態になる IEEE802.3ah/UDLD 機能でポートが inactive 状態となる パケット廃棄による通信障害 フィルタ QoS 設定情報の確認 ポートミラーリングの障害 ポートミラーリングの障害 省電力機能の障害 LED 輝度が動作しない 省電力スケジューリングが動作しない 温度監視対応時の障害 温度履歴情報の日付が正しく表示されな い その他 - コンフィグレーションガイドによって, 再度設定 を確認してください 6

21 2 装置障害におけるトラブルシュート この章では, 装置に障害が発生した場合の対処方法を説明します 2.1 装置障害の対応手順 7

22 2. 装置障害におけるトラブルシュート 2.1 装置障害の対応手順 装置障害の対応手順 装置に障害が発生した場合には, 以下の手順で対応します 表 2-1 装置障害のトラブルシュート 項番 障害内容 対策内容 1 装置から発煙している 装置から異臭が発生している 装置から異常音が発生している 直ちに電源ケーブルを抜いてください そのあと, 装置を交換してください 2 login プロンプトが表示されない 1. MC が挿入されている場合は,MC を抜いた上で, 電源ケーブルを抜いて電源 OFF にし, 電源ケーブルを接続し再度 ON にして装置を再起動します 2. MC が挿入されていない場合は, 電源ケーブルを抜いて電源 OFF にし, 電源ケーブルを接続し再度 ON にして装置を再起動します 3. 装置を再起動させても問題が解決しない場合には, 装置を交換します 3 装置の PWR LED が消灯している 次の手順で対策を実施します 1. 表 2-2 電源障害の切り分け を実施します 2. 上記に該当しない場合には, 装置を再起動して環境に異常がな いかを確認します (1) 電源ケーブルを抜いて電源 OFF にし, 電源ケーブルを接続し再度 ON にして装置を再起動します (2) 装置を再起動できた場合には, 運用コマンド show logging を実行して障害情報を確認し, 対策を実施してください >show logging (3) 上記 (1) の手順で装置を再起動できない場合, 装置に障害が発生しているため, 装置を交換してください 4 装置の ST1 LED が赤点灯している 装置に障害が発生した可能性があります 後述 4 障害情報取得方法 を参照して, 運用コマンド show tech-support で装置情報を採取してください 装置情報を採取後, 装置を再起動して異常がないかを確認します 1. 電源ケーブルを抜いて電源 OFF にし, 電源ケーブルを接続し 再度 ON にして装置を再起動します 2. 装置を再起動できた場合には, 運用コマンド show logging を 実行して障害情報を確認してください >show logging 3. 採取した障害情報に " 高温注意 " のメッセージが存在する場合 には, 動作環境が原因と考えられるため, システム管理者に環 境の改善を依頼します 4. 上記 1 の手順で装置を再起動できない場合, 上記 3 の手順で障 害情報が存在しない, または " 高温注意 " のメッセージが存在 しない場合には, 装置に障害が発生しているため, 装置を交換 してください 5 装置の ST1 LED が赤点滅している 装置の 1000BASE-X ポートの LINK LED が橙点灯または消灯している 装置の 10/100/1000BASE-T ポートの LED(1-8) が消灯している 装置または回線に障害が発生しています 1. エラーメッセージを参照して障害の対策を実施します show logging コマンドを実行して障害情報を確認し, 対策を実施してください >show logging 8

23 2. 装置障害におけるトラブルシュート 表 2-2 電源障害の切り分け 項番 障害内容 対策内容 1 装置の電源が OFF になっている 電源ケーブルを接続します 2 電源ケーブルに抜けやゆるみがある 電源ケーブルを正しく挿入します 3 測定した入力電源が以下の範囲外である AC100V の場合 :AC90 ~ 127V AC200V の場合 :AC180 ~ 254V 注本件は入力電源の測定が可能な場合だけ実施する 設備担当者に連絡して入力電源の対策を依頼してください 装置およびオプション機構の交換方法 装置およびオプション機構 の交換方法は, ハードウェア取扱説明書 に記載されています 記載された手順に従って実施してください 注 : オプション機構は以下を示します トランシーバ (SFP),MC( メモリカード ) 9

24

25 3 運用中機能障害におけるトラブルシュート 本章では装置が正常に動作しない, または通信ができないといったトラブルが発生した場合の対処方法を説明します 3.1 ログインのトラブル 3.2 運用端末のトラブル 3.3 ファイル保存のトラブル 3.4 ネットワークインタフェースの通信障害 3.5 レイヤ 2 ネットワークの通信障害 3.6 IPv4 ネットワークの通信障害 3.7 IPv6 ネットワークの通信障害 3.8 レイヤ 2 認証の通信障害 3.9 セキュリティ機能の通信障害 3.10 冗長構成による高信頼化機能の通信障害 3.11 SNMP の通信障害 3.12 sflow 統計 ( フロー統計 ) 機能のトラブルシューティング 3.13 隣接装置管理機能の通信障害 3.14 NTP の通信障害 3.15 IEEE802.3ah/UDLD 機能の通信障害 3.16 フィルタ QoS 設定で生じる通信障害 3.17 ポートミラーリングの障害 3.18 省電力機能の障害 3.19 温度監視対応時の障害 11

26 3.1 ログインのトラブル ログインユーザのパスワードを忘れてしまった ログインユーザのパスワードを忘れて本装置にログインできない場合は, 次に示す方法で対応してください (1) ログインできるユーザがほかにいる場合ログインできるユーザが, 装置管理者モードで運用コマンド password を実行しパスワードを忘れたログインユーザのパスワードを再設定します または, 運用コマンド clear password でパスワードを削除します これらのコマンドは, 装置管理者モードで実行します 従って, ログインするユーザは入力モードを装置管理者モードに変更するための運用コマンド enable のパスワードを知っている必要があります パスワードを忘れた user1 のパスワードを装置管理者モードで再設定する例を次の図に示します 図 3-1 user1 のパスワードを再設定する例 # password user1 Changing local password for user1. New password: Retype new password: # (2) ログインできるユーザがいない場合ログインできるユーザがいない場合, またはログインできても運用コマンド enable のパスワードがわからない場合は, 下記の手順で実施してください 1. 本装置を再起動し, コンソールに "login" が表示されるまで,[CTRL + N] キーを同時に押下し続けてください このとき, スタートアップコンフィグレーションファイルおよびログインユーザ情報は読み込まれません 2. 本装置起動後は, ログインユーザ ID:operator でログインできます 3. ログイン後, 運用コマンド adduser でログインユーザ ID とパスワードを設定してください 4. 本装置を再起動してください スタートアップコンフィグレーションファイルおよび設定したパスワード情報が読み込まれます 装置管理者のパスワードを忘れてしまった 運用中, 装置管理者のパスワードを忘れてしまい装置管理者モードになれない場合は, 下記の手順で対応してください 1. 本装置を再起動し, コンソールに "login" が表示されるまで,[CTRL + N] キーを同時に押下し続けてください このとき, スタートアップコンフィグレーションファイルおよびパスワード情報は読み込まれません 2. 本装置起動後, 運用コマンド password で装置管理者用パスワードを設定してください 3. 本装置を再起動してください スタートアップコンフィグレーションファイルおよび設定したパスワード情報が読み込まれます 12

27 3.2 運用端末のトラブル コンソールからの入力, 表示がうまくできない コンソールとの接続トラブルが発生した場合は, 次の表に従って確認してください 表 3-1 コンソールとの接続トラブルおよび対応 項番障害内容確認内容 1 画面に何も表示されない 次の手順で確認してください 1. 装置の正面パネルにある ST1 LED が緑点灯になっているかを確認してくださ い 緑点灯していない場合は, 1.2 装置および装置一部障害解析概要 を 参照してください 2. ケーブルの接続が正しいか確認してください 3. RS-232C クロスケーブルを用いていることを確認してください 4. ポート番号, 通信速度, データ長, パリティビット, ストップビット, フ ロー制御などの通信ソフトウェアの設定が以下のとおりになっているか確認してください 通信速度 :9600bit/s( 変更している場合は設定値 ) データ長 :8bit パリティビット : なしストップビット :1bit フロー制御 : なし 2 キー入力を受け付けない 次の手順で確認してください 1. XON / XOFF によるフロー制御でデータの送受信を中断している可能性が あります データ送受信の中断を解除してください ([Ctrl]+[Q] をキー 入力してください ) それでもキー入力ができない場合は 2. 以降を確認して ください 2. 通信ソフトウェアの設定が正しいか確認してください 3. [Ctrl]+[S] により画面が停止している可能性があります 何かキーを入 力してください 3 ログイン時に異常な文字が表示される 4 ユーザ ID 入力中に異常な文字が表示された 通信ソフトウェアとのネゴシエーションが正しくできていない可能性があります 通信ソフトウェアの通信速度を次の手順で確認してください 1. コンフィグレーションコマンド line console 0 の config-line モードで CONSOLE(RS-232C) の通信速度を設定していない場合は, 通信ソフトウェアの通信速度が 9600bit/s に設定されているか確認してください 2. コンフィグレーションコマンド line console 0 の config-line モードで CONSOLE(RS-232C) の通信速度を 1200,2400,4800,9600, または 19200bit/s に設定している場合は, 通信ソフトウェアの通信速度が正しく設定されているか確認してください CONSOLE(RS-232C) の通信速度を変更された可能性があります 項番 3 を参照してください 5 ログインできない次の手順で確認してください 1. 画面にログインプロンプトが出ているか確認してください 出ていなければ, 装置を起動中のため, しばらくお待ちください ログインのトラブル の手順を実行してみてください 3. 上記の手順でもログインできない場合は, 内蔵フラッシュメモリが壊れている可能性があります 運用コマンド format flash を実行してみてください なお, 運用コマンド format flash 実行後は, 保存済みの各種情報が消失します 消失する情報は, 運用コマンドレファレンス の運用コマンド format flash を参照してください 6 ログイン後に通信ソフトウェアの通信速度を変更したら異常な文字が表示され, コマンド入力ができない ログイン後に通信ソフトウェアの通信速度を変更しても正常な表示はできません 通信ソフトウェアの通信速度を元に戻してください 13

28 項番障害内容確認内容 7 Tera Term Pro を使用してログインしたいがログイン時に異常な文字が表示される 8 項目名と内容がずれて表示される 9 運用コマンドを実行しても情報が表示されない 通信ソフトウェアとのネゴシエーションが正しくできていない可能性があります 項番 3 を参照してください [Alt]+[B] でブレーク信号を発行します なお,Tera Term Pro の通信速度により複数回ブレーク信号を発行しないとログイン画面が表示されないことがあります 1 行で表示可能な文字数を超える情報を表示している可能性があります 通信ソフトウェアの設定で画面サイズ (80 桁 24 行 ) に変更し,1 行で表示可能な文字数を多くしてください コマンド実行結果のメッセージを確認してください 1. Can't execute. : 一時的にコマンドを実行できない状態になっていた可能性があります 再度実行してみてください 2. There is no memory. : 表示データを収集するための一時的なメモリ領域を確保できなかった可能性があります 再度実行してみてください 再度実行しても, このメッセージが表示された場合は, 運用コマンド reload または装置の電源を OFF/ON して再起動してください リモート運用端末からログインできない リモート運用端末 (telnet,ftp など ) との接続トラブルが発生した場合は, 次の表に従って確認してください 表 3-2 リモート運用端末との接続トラブルおよび対応 項番現象対処方法, または参照個所 1 リモート接続ができない 次の手順で確認してください 1. PC や WS から運用コマンド ping を使用してリモート接続のための経路が確 立されているかを確認してください 2 ログインができない 次の手順で確認してください 1. コンフィグレーションコマンド line vty, または ftp-server が設定されている か確認してください ( 詳細は コンフィグレーションガイド を参照してく ださい ) 2. コンフィグレーションコマンド line vty モードのアクセスリストで許可され た IP アドレスを持つ端末を使用しているかを確認してください また, コン フィグレーションコマンドアクセスリストで設定した IP アドレスに deny を 指定していないかを確認してください ( 詳細は コンフィグレーションガイ ド を参照してください ) 3. ログインできる最大ユーザ数を超えていないか確認してください ( 詳細は コンフィグレーションガイド を参照してください) 4. ログイン操作が不完全な状態で放置している端末がないか確認してください ( 不完全な状態 : ユーザ ID, パスワードの入力待ち状態, ログイン失敗状態 ) 該当する端末がある場合は, その端末の通信ソフトウェアを終了させてくだ さい 5. ログイン中にリモート運用端末から本装置への到達性が一時的に失われるよ うな事象がなかったか確認してください ログインしている状態でリモート運用端末から本装置への到達性が失われ, その後に復旧している場合, 本装置にセッション情報が残存するため,TCP プロトコルのタイムアウト時間が経過してセッションが切断されるまで, リ モート運用端末から新たにログインできません TCP プロトコルのタイムア ウト時間はリモート運用端末の状態やネットワークの状態によって変化しま すが, おおむね 10 分です 14

29 項番現象対処方法, または参照個所 3 キー入力を受け付けない 次の手順で確認してください 1. XON / XOFF によるフロー制御でデータの送受信を中断している可能性があります データ送受信の中断を解除してください ([Ctrl]+[Q] をキー入力してください ) それでもキー入力できない場合は, 項番 2 以降を確認してください 2. 通信ソフトウェアの設定が正しいか確認してください 3. [Ctrl]+[S] により画面が停止している可能性があります 何かキーを入力してください 4 ログインしたままの状態になっているユーザがある 自動ログアウト ( 最大 60 分 ) するのを待ってください また, コンフィグレーションを編集中の場合は, 再度ログインしてコンフィグレーションモードになってから保存し, 編集を終了してください RADIUS を利用したログイン認証ができない RADIUS を利用したログイン認証ができない場合, 以下の確認してください (1) RADIUSサーバへの通信運用コマンド ping で, 本装置から RADIUS サーバに対して疎通ができているかを確認してください 疎通ができない場合は, 通信できない, または切断されている を参照してください また, コンフィグレーションで VLAN インタフェースに IP アドレスを設定している場合は,IP アドレスから運用コマンド ping で, 本装置から RADIUS サーバに対して疎通ができているかを確認してください (2) 応答タイムアウト値および再送回数設定 RADIUS 認証の場合, コンフィグレーションコマンド radius-server host,radius-server retransmit, radius-server timeout の設定により, 本装置が RADIUS サーバとの通信が不能と判断する時間は最大で < 設定した応答タイムアウト値 ( 秒 ) > < 設定した再送回数 +1> < 設定した RADIUS サーバ数 >となります この時間が極端に大きくなると, リモート運用端末の telnet などのアプリケーションがタイムアウトによって終了する可能性があります この場合,RADIUS コンフィグレーションの設定かリモート運用端末で使用するアプリケーションのタイムアウトの設定を変更してください また, 運用ログに RADIUS 認証が成功したメッセージが出力されているにもかかわらず,telnet や ftp が失敗する場合は, コンフィグレーションで指定した複数の RADIUS サーバの中で, 稼働中の RADIUS サーバに接続するまでに, リモート運用端末側のアプリケーションがタイムアウトしていることが考えられるため, 稼働中の RADIUS サーバを優先するように設定するか,< 応答タイムアウト値 ( 秒 ) > < 再送回数 >の値を小さくしてください (3) 本装置にログインできない場合の対処方法設定ミスなどで本装置にログインできない場合は, コンソールからログインして修正してください なお, コンフィグレーションコマンド aaa authentication login console によって, コンソールもログイン認証の対象となっている場合は, 以下の手順でログインしてコンフィグレーションを修正してください 1. 本装置を再起動し, コンソールに "login" が表示されるまで,[CTRL + N] キーを同時に押下し続けてください このとき, スタートアップコンフィグレーションファイルおよびログインユーザ情報は読み込まれません 2. 本装置起動後は, ログインユーザ ID:operator でログインできます 3. ログイン後, 運用コマンド adduser でログインユーザ ID とパスワードを設定してください 15

30 4. コンフィグレーションコマンド aaa authentication login default local を設定し,save コマンドで保存します このとき,aaa authentication login local 設定以外は消失します 5. 本装置を再起動してください 変更したログインユーザ ID 情報が読み込まれますので, 変更したログインユーザ ID とパスワードでログインしてください なお, スタートアップコンフィグレーションファイルは,aaa authentication login console 以外の設定が消失していますので, 再度設定し直してください コマンドを入力できない 障害などにより装置が再起動した場合は, 再起動して約 2 分後に自動で装置障害情報採取 (auto-log) が開始されます 採取中はコマンド入力ができない状態となる場合があります しばらく経ってからご使用ください なお, 運用コマンド reload 実行や装置の電源 OFF/ON では本現象は発生しません 注 再起動して自動で装置障害情報採取が開始される前に, 装置へログインした場合, 情報採取は行われません 運用コマンド show tech-support を実行して装置障害情報を採取してください 16

31 3.3 ファイル保存のトラブル スタートアップコンフィグレーションファイルに保存できない 運用コマンドでスタートアップコンフィグレーションファイルにコピーできないなどのトラブルが発生した場合は, 次の表に従って確認してください 表 3-3 スタートアップコンフィグレーションファイルへのコピーでのトラブルおよび対応項番確認内容 コマンド確認内容 1 コマンドの応答メッセージを確認してください 2 運用コマンド format flash を実行してみてください Can t execute. を表示している場合は次の手順で確認してください 1. 指定したファイルが存在しているか確認してください 2. 指定したファイル名が間違っていないか確認してください 3. 上記以外の場合は, 項番 2 を参照してください 次の手順で確認してください 1. 運用コマンド format flash でファイルシステムをフォーマットしてみてください Flash format complete. ( フォーマット正常終了 ) を表示した場合は, 再度コンフィグレーションを設定し, スタートアップコンフィグレーションファイルに保存してください なお, 運用コマンド format flash 実行後は, 保存済みの各種情報が消失します 消失する情報は, 運用コマンドレファレンス の運用コマンド format flash を参照してください 2. Flash format complete. 以外を表示した場合, ファイルシステムが壊れている可能性があります MC にコピーできない, または書き込みできない 運用コマンドで,MC にコピーできないなどのトラブルが発生した場合は, 次の表に従って確認してください 表 3-4 MC へのコピーでのトラブルおよび対応項番確認内容 コマンド確認内容 1 コマンドの応答メッセージを確認してください 2 運用コマンド show ramdisk-file で RAMDISK のファイルを確認してください 次の手順で確認してください 1. MC is not inserted. が表示された場合は,MC が挿入されていません MC を挿入してください 2. Can't access to MC by write protection. が表示された場合は,MC が書き込み禁止状態になっています MC をいったん外して, スイッチを Lock 状態と逆側に動かして書き込み禁止状態を解除してください 3. No enough space on device. が表示された場合は, 書き込み先の MC に空き容量が不足しています 運用コマンド del で不要なファイルを削除してから, 再度実行してください 4. Can t execute. が表示された場合は, 項番 2 を参照してください 次の手順で確認してください 1. 指定したファイルが存在しているか確認してください 2. 指定したファイル名が間違っていないか確認してください 3. 上記のいずれでもない場合は, 項番 3 を参照してください 17

32 項番確認内容 コマンド確認内容 3 運用コマンド format mc を実行してみてください 次の手順で確認してください 1. 何もメッセージが表示されず, プロンプトのみ表示された場合は,MC のフォーマットは正常終了しています 再度指定ファイルを MC に書き込んでみてください 2. Can t gain access to MC. が表示された場合は,MC をいったん取り出し, MC および MC スロットにほこりなどが付着していないか確認してください ほこりが付着している場合は, 乾いた布でほこりを取ってから, 再度 MC をスロットに挿入してください 挿入後, 再度運用コマンド format mc を実行してください 3. Can t execute. が表示された場合は,MC をいったん取り出し,MC および MC スロットにほこりなどが付着していないか確認してください ほこりが付着している場合は, 乾いた布でほこりを取ってから, 再度 MC をスロットに挿入してください 挿入後, 再度運用コマンド format mc を実行してください 同じメッセージが表示された場合は,MC が壊れている可能性があります 別の MC に交換してください RAMDISK にコピーできない, または書き込みできない 運用コマンドで RAMDISK にコピーできないなどのトラブルが発生した場合は, 次の表に従って確認してください 表 3-5 RAMDISK へのコピーでのトラブルおよび対応項番確認内容 コマンド確認内容 1 コマンドの応答メッセージを確認してください 2 運用コマンド show ramdisk で RAMDISK の状態を確認してください 3 運用コマンド format flash を実行してみてください 次の手順で確認してください 1. 指定したファイルが存在しているか確認してください 2. 指定したファイル名が間違っていないか確認してください 3. Not enough space on device. が表示されている場合は, 項番 2 を参照してください 次の手順で確認してください 1. 運用コマンド show ramdisk の free ( 空き容量 ) で表示されるサイズは, 十分余裕があるか確認してください 空き容量が少ない場合は, 運用コマンド del で不要なファイルを削除してください 2. コンフィグレーションファイルをコピーする場合は 3MB 以上の空き容量があるか確認してください 3. 運用コマンド show tech-support ramdisk で装置情報を RAMDISK に保存する場合は, 不要なファイルをすべて運用コマンド del で削除してください 4. 上記以外の場合は, 項番 3 を参照してください 次の手順で確認してください 1. 運用コマンド format flash でファイルシステムをフォーマットしてみてください Flash format complete. ( フォーマット正常終了 ) を表示した場合は, 再度コンフィグレーションを設定し, スタートアップコンフィグレーションファイルに保存してください なお, 運用コマンド format flash 実行後は, 保存済みの各種情報が消失します 消失する情報は, 運用コマンドレファレンス の運用コマンド format flash を参照してください 2. フォーマットが正常終了しなかった場合は, ファイルシステムが壊れている可能性があります 18

33 3.3.4 運用コマンド ppupdate でアップデートできない 下記を確認してください 1. 運用コマンド ppupdate で指定したアップデート用ファイルが対象装置のファイルか確認してください IP8800/A260 のアップデート用ファイルであることを確認してください アップデート用ファイルが, 対象装置の装置モデルに対応したバージョンであることを確認してください アップデート用ファイルを確認後, 運用コマンド ppupdate を再実行してみてください 2. 運用コマンド show logging で以下のログが採取されている場合 Ver.4.4 まで : FROM write fail [cnt=xxxxxxxx,size=xxxxxxxx,err=xxxxxxxx] Ver.4.5 以降 : Flash memory failure detected at <function name> <target address>. 運用コマンド ppupdate を再実行してみてください それでもエラーになる場合は, 内蔵フラッシュメモリが壊れている可能性があります 装置を交換してください 運用コマンド restore で復元できない 下記を確認してください 1. リストア対象の装置と同じモデル名称の装置で作成したバックアップファイルか確認してください 装置のモデル名称は, 運用コマンド show version 表示される Model で確認してください 運用コマンド backup で no-software を指定したバックアップファイルは, 運用コマンド restore でも no-software を指定してください バックアップファイル作成時のソフトウェアバージョンが, リストア対象の装置に適していることを確認してください バックアップファイルに, 対象装置の装置モデルが対応していないバージョンのソフトウェアを含んでいるとリストアできません この場合, no-software を指定するとソフトウェア以外はリストアできます バックアップファイルを確認後, 運用コマンド restore を再実行してみてください それでもエラーになる場合は, バックアップファイルが壊れている可能性があります 2. 運用コマンド show logging で以下のログが採取されている場合 Ver.4.4 まで : FROM write fail [cnt=xxxxxxxx,size=xxxxxxxx,err=xxxxxxxx] Ver.4.5 以降 : Flash memory failure detected at <function name> <target address>. 運用コマンド restore を再実行してみてください それでもエラーになる場合は, 内蔵フラッシュメモリが壊れている可能性があります 装置を交換してください バインディングデータベースを保存または復元できない DHCP snooping で使用する, バインディングデータベースを保存できない, または復元できない場合の対処については, DHCP snooping 機能使用時の障害 を参照してください 19

34 3.4 ネットワークインタフェースの通信障害 イーサネットポートの接続ができない 通信障害の原因がイーサネットポートにあると考えられる場合は, ポートの状態を以下に従って確認してください (1) ポートの状態確認運用コマンド show port によりポート状態を確認してください 次の表にポート状態に対する対応を示します 表 3-6 ポート状態の確認および対応 項番 ポート状態原因対応 1 up 該当ポートは正常に動作中です なし 2 down 該当ポートに回線障害が発生してい ます 3 inact 下記のどれかによって inactive 状態となっています 運用コマンド inactivate リンクアグリゲーションのスタンバイリンク機能 スパニングツリーの BPDU ガード機能 IEEE802.3ah/UDLD 機能での障害検出 L2 ループ検知機能によってポートを inactive 状態にした ストームコントロール機能によってポートを inactive 状態にした 4 test 運用コマンド test interfaces によっ て, 該当ポートは回線テスト中で す 運用コマンド show logging によって表示される該当ポートのログより, マニュアル メッセージ ログレファレンス の該当個所を参照し, 記載されている [ 対応 ] に従って対応してください リンクアグリゲーションのスタンバイリンク機能によって inactive 状態になっている場合は, 正常な動作なので, 運用コマンド activate で active 状態にしないでください スタンバイリンク機能は運用コマンド show channel-group で detail パラメータを指定し確認してください スパニングツリーの BPDU ガード機能によって inactive 状態になっている場合は, 対向装置の設定を見直し, 本装置で BPDU を受信しない構成にし, 運用コマンド activate で該当ポートを active 状態にしてください BPDU ガード機能は運用コマンド show spanning-tree で detail パラメータを指定し確認してください IEEE802.3ah/UDLD 機能で片方向リンク障害または L2 ループが検出されたことによって inactive 状態になっている場合は, 3.15 IEEE802.3ah/UDLD 機能の通信障害 を参照してください 障害復旧後, 運用コマンド activate で該当ポートを active 状態にしてください L2 ループ検知機能によって inactive 状態になっている場合は, ループが発生する構成を変更した後, 運用コマンド activate で該当ポートを active 状態にしてください また, コンフィグレーションコマンドで loop-detection auto-restore-time が設定されている場合は, 自動的に active 状態に戻ります ストームコントロール機能によって inactive 状態になっている場合は,LAN がストームから回復後, 運用コマンド activate で該当ポートを active 状態にしてください 上記のどれでもない場合に,active 状態にしたいときは, 使用するポートにケーブルが接続されていることを確認の上, 運用コマンド activate で該当ポートを active 状態にしてください 通信を再開する場合は, 運用コマンド no test interfaces で回線テストを停止後, 運用コマンド activate で該当ポートを active 状態にしてください 20

35 項番 ポート状態原因対応 5 fault 該当ポートのポート部分のハード ウェアが障害となっています 運用コマンド show logging によって表示される該当ポートのログより, マニュアル メッセージ ログレファレンス の該当個所を参照し, 記載されている [ 対応 ] に従って対応してください 6 init 該当ポートが初期化中です 初期化が完了するまで待ってください 7 dis コンフィグレーションコマンド shutdown が設定されています 使用するポートにケーブルが接続されていることを確認の上, コンフィグレーションコマンドで no shutdown を設定して該当ポートを active 状態にしてください BASE-T/100BASE-TX/1000BASE-T のトラブル発生時の対応 10BASE-T/100BASE-TX/1000BASE-T でトラブルが発生した場合は, 以下の順序で障害の切り分けを行ってください 1. 運用ログ情報の確認運用ログ情報は メッセージ ログレファレンス を参照してください 2. 障害解析方法に従った原因の切り分け次の表に示す障害解析方法に従って原因の切り分けを行ってください 表 BASE-T/100BASE-TX/1000BASE-T のトラブル発生時の障害解析方法項番確認内容原因対応 1 運用コマンド show interfaces の障害統計情報により該当回線で以下の統計情報がカウントされていないか確認してください カウントされている場合, 原因と対応欄を参照してください Link down 回線品質が低下しています ケーブル種別を確認してください ケーブル種別は ハードウェア取扱説明書 を参照してください 本装置の設定が次の場合はピンマッピングが MDI-X であるか確認してください 該当ポートの設定が固定接続となっている場合 該当ポートの設定がオートネゴシエーションかつ自動 MDIX 機能を無効にしている場合 ケーブル長を確認してください ケーブル長は ハードウェア取扱説明書 を参照してください ケーブルの接続が正しいか確認してください ケーブル接続は ハードウェア取扱説明書 を参照してください 本装置でサポートしている接続インタフェースに交換してください 本装置でサポートしている接続インタフェースは, ハードウェア取扱説明書 および コンフィグレーションガイド を参照してください 本装置の回線テストを実行して受信側機能に問題ないか確認してください 運用コマンド no test interfaces の実行結果を参照し, 記載されている [ 対策 ] に従って対応してください 指定するテスト種別は 5.1 回線をテストする を参照してください 21

36 項番確認内容原因対応 2 運用コマンド show interfaces の受信系エラー統計情報により該当回線で以下の統計情報がカウントされていないか確認してください カウントされている場合, 原因と対応欄を参照してください CRC errors Symbol errors 3 運用コマンド show interfaces により該当回線で回線種別 / 回線速度を確認してください 不正な回線種別 / 回線速度の場合, 原因と対応欄を参照してください 回線品質が低下しています ケーブルが適合していません コンフィグレーションコマンド speed と duplex が相手装置と不一致です ケーブル種別を確認してください ケーブル種別は ハードウェア取扱説明書 を参照してください 本装置の設定が次の場合はピンマッピングが MDI-X であるか確認してください 該当ポートの設定が固定接続となっている場合 該当ポートの設定がオートネゴシエーションかつ自動 MDIX 機能を無効にしている場合 ケーブル長を確認してください ケーブル長は ハードウェア取扱説明書 を参照してください ケーブルの接続が正しいか確認してください ケーブル接続は ハードウェア取扱説明書 を参照してください 本装置でサポートしている接続インタフェースに交換してください 本装置でサポートしている接続インタフェースは, ハードウェア取扱説明書 および コンフィグレーションガイド を参照してください 本装置の回線テストを実行して受信側機能に問題ないか確認してください 運用コマンド no test interfaces の実行結果を参照し, 記載されている [ 対策 ] に従って対応してください 指定するテスト種別は 5.1 回線をテストする を参照してください ケーブル種別を確認してください ケーブル種別は ハードウェア取扱説明書 を参照してください コンフィグレーションコマンド speed と duplex を相手装置と合わせてください 上記以外の場合 オートネゴシエーションで特定の速度を使用したい場合は, オートネゴシエーションの回線速度を設定してください 詳細は, マニュアル コンフィグレーションガイド を参照してください 4 運用コマンド show interfaces の障害統計情報によって該当ポートで以下の統計情報がカウントされていないか確認してください カウントされる場合, 原因と対応欄を参照してください Long frames 受信できるフレーム長を超えたパケットを受信しています ジャンボフレームの設定を相手装置と合わせてください BASE-X のトラブル発生時の対応 1000BASE-X でトラブルが発生した場合は, 以下の順序で障害の切り分けを行ってください 1. 運用ログ情報の確認運用ログ情報は メッセージ ログレファレンス を参照してください 2. 障害解析方法に従った原因の切り分け次の表に示す障害解析方法に従って原因の切り分けを行ってください 22

37 表 BASE-X のトラブル発生時の障害解析方法 項番 確認内容原因対応 1 運用コマンド show interfaces の障害統計情報により該当回線で以下の統計情報がカウントされていないか確認してください カウントされている場合, 原因と対応欄を参照してください Link down 2 運用コマンド show interfaces の受信系エラー統計情報により該当回線で以下の統計情報がカウントされていないか確認してください カウントされている場合, 原因と対応欄を参照してください CRC errors Symbol errors 3 運用コマンド show interfaces の障害統計情報によって該当ポートで以下の統計情報がカウントされていないか確認してください カウントされる場合, 原因と対応欄を参照してください Long frames BASE-BX などの 1 芯の光ファイバを使用している場合, 相手側のトランシーバと組み合わせが合っているか確認してください 受信側の回線品質が低下しています 受信側の回線品質が低下しています 受信できるフレーム長を超えたパケットを受信しています トランシーバの組み合わせが不正です 光ファイバの種別を確認してください 光アッテネータ ( 光減衰器 ) を使用している場合, 減衰値を確認してください ケーブル長を確認してください ケーブル長は ハードウェア取扱説明書 を参照してください ケーブルの接続が正しいか ( 半挿し状態になっていないかなど ) 確認してください ケーブル接続は ハードウェア取扱説明書 を参照してください また, ケーブルの端面が汚れていないか確認してください 汚れている場合, 汚れを拭き取ってください トランシーバ (SFP) の接続が正しいか ( 半挿し状態になっていないかなど ) 確認してください 相手装置のセグメント規格と合わせてください 光レベルが正しいか確認してください 本装置の回線テストを実行して受信側機能に問題ないか確認してください 運用コマンド no test interfaces の実行結果を参照し, 記載されている [ 対策 ] に従って対応してください 指定するテスト種別は 5.1 回線をテストする を参照してください 光ファイバの種別を確認してください 光アッテネータ ( 光減衰器 ) を使用している場合, 減衰値を確認してください ケーブル長を確認してください ケーブル長は ハードウェア取扱説明書 を参照してください ケーブルの接続が正しいか確認してください ケーブル接続は ハードウェア取扱説明書 を参照してください また, ケーブルの端面が汚れていないか確認してください 汚れている場合, 汚れを拭き取ってください トランシーバ (SFP) の接続が正しいか確認してください 相手装置のセグメント規格と合わせてください 光レベルが正しいか確認してください 本装置の回線テストを実行して受信側機能に問題ないか確認してください 運用コマンド no test interfaces の実行結果を参照し, 記載されている [ 対策 ] に従って対応してください 指定するテスト種別は 5.1 回線をテストする を参照してください ジャンボフレームの設定を相手装置と合わせてください 1000BASE-BX を使用する場合, トランシーバは U タイプと D タイプを対向して使用する必要があります トランシーバの種別が正しいか確認してください 23

38 項番 確認内容原因対応 5 ポートの LINK LED が緑点滅している場合は, ケーブルやトランシーバの状態を確認してください ポートのリンクアップ ダウン検出が頻発しています 光ファイバの種別を確認してください ケーブルの接続が正しいか確認してください ケーブル接続は ハードウェア取扱説明書 を参照してください また, ケーブルの端面が汚れていないか確認してください 汚れている場合, 汚れを拭き取ってください トランシーバ (SFP) の接続が正しいか確認してください リンクアグリゲーション使用時の通信障害 リンクアグリゲーション使用時に通信ができない, または縮退運転している場合は, 次の表に示す障害解析方法に従って原因の切り分けを行ってください 表 3-9 リンクアグリゲーション使用時の通信の障害解析方法 項番 確認内容 コマンド 対応 1 通信障害となっているリンクアグリゲーションの設定を運用コマンド show channel-group detail で確認してください 2 通信障害となっているポートの運用状態を運用コマンド show channel-group detail で確認してください リンクアグリゲーションのモードが相手装置のモードと同じ設定になっているか確認してください 相手装置とモードが異なる場合, 相手装置と同じモードに合わせてください リンクアグリゲーションのモードが一致している場合, 各ポートの LACP 開始方法が両方とも passive になっていないか確認してください 両方とも passive になっていた場合, どちらか一方を active に変更してください 各ポートの状態 (Status) を確認してください リンクアグリゲーショングループ内の全ポートが Down の場合, リンクアグリゲーションのグループが Down します Detached Down, 予備, 速度不一致または半二重です Attached 過度状態, ネゴシエーション中です Collecting 過度状態, ネゴシエーション中 ( 受信可能 ) です Distributing 送受信可能状態です 24

39 3.5 レイヤ 2 ネットワークの通信障害 VLAN によるレイヤ 2 通信ができない VLAN 使用時にレイヤ 2 通信ができない場合は, 次に示す障害解析方法に従って原因の切り分けを行ってください (1) VLAN 状態の確認 運用コマンド show vlan または運用コマンド show vlan detail を実行して,VLAN の状態を確認してください 以下に,VLAN 機能ごとの確認内容を示します (a) 全 VLAN 機能での共通確認 ポートに VLAN を正しく設定しているか ポートのモードの設定は合っているか また, デフォルト VLAN(VLAN ID 1) で期待したポートが所属していない場合は, 以下の設定を確認してください VLAN ID 1 以外のポート VLAN をアクセス VLAN またはネイティブ VLAN に指定していないか トランクポートで allowed vlan にデフォルト VLAN の設定が抜けていないか ミラーポートに指定していないか (b) プロトコル VLAN の場合の確認 プロトコル VLAN を使用している場合は, 運用コマンド show vlan を実行して, プロトコルが正しく設定されていることを確認してください # show vlan : VLAN ID:100 Type:Protocol based Status:Up Protocol VLAN Information Name:ipv4 EtherType:0800,0806 LLC: Snap-EtherType: Learning:On Uplink-VLAN: Uplink-Block: Tag-Translation: : (c) MAC VLAN の場合の確認 MAC VLAN を使用している場合は, 運用コマンド show vlan mac-vlan を実行して,VLAN で通信を許可する MAC アドレスが正しく設定されていることを確認してください 括弧内は,MAC アドレスの登録元機能を表しています [ 登録元機能 ] static: コンフィグレーションにより設定された MAC アドレスです dot1x:ieee802.1x 機能により設定された MAC アドレスです web-auth:web 認証機能により設定された MAC アドレスです mac-auth:mac 認証機能により設定された MAC アドレスです # show vlan mac-vlan : VLAN ID:100 MAC Counts: e (static) 0012.e (static) 0012.e200.00:02 (static) 0012.e200.00:04 (dot1x) 25

40 運用コマンド show vlan mac-vlan を実行して, レイヤ 2 認証機能とコンフィグレーションで同じ MAC アドレスを異なる VLAN に設定していないことを確認してください *( アスタリスク ) が表示されている MAC アドレスは, 収容条件によってハードウェア上に登録されていないエントリを示します # show vlan mac-vlan : VLAN ID:500 MAC Counts: e200.aa01 (static) 0012.e200.aa03 (static) VLAN ID:600 MAC Counts:1 * 0012.e200.aa01 (dot1x) (2) ポート状態の確認 0012.e200.aa02 (static) 0012.e200.aa04 (dot1x) 運用コマンド show vlan detail を実行して, ポートが Up 状態であることを確認してください Down 状態の場合は 3.4 ネットワークインタフェースの通信障害 を参照してください ポートが Forwarding 状態であることを確認してください Blocking 状態である場合は, 括弧内の要因により Blocking 状態となっています 要因となっている機能の運用状態を確認してください [ 要因 ] VLAN:VLAN が suspend 指定です CH: リンクアグリゲーションにより転送停止中です STP: スパニングツリーにより転送停止中です dot1x:ieee802.1x 機能により転送停止中です ULR: アップリンク リダンダントにより転送停止中です AXRP:Ring Protocol により転送停止中です > show vlan 2048 detail Date 20XX/05/31 03:21:25 UTC VLAN counts: 1 VLAN ID: 2048 Type: Port based Status: Up : : Port Information 0/3 Up Forwarding Untagged 0/4 Up Forwarding Untagged 0/5 Down - Untagged 0/6 Down - Untagged (3) MAC アドレステーブルの確認 (a) MAC アドレス学習の状態の確認 運用コマンド show mac-address-table を実行して, 通信障害となっている宛先 MAC アドレスの情報を確認してください > show mac-address-table Date 20XX/06/09 21:30:08 UTC Aging time : 300 MAC address VLAN Type Port-list 0012.e Dynamic 0/ e Dynamic 0/ e2a5.429c 2 Dynamic 0/4,0/ e2a5.e Static 0/1,0/10 > 26

41 Type 表示によって以下の対処を行ってください Type 表示が Dynamic の場合 MAC アドレス学習の情報が更新されていない可能性があります 運用コマンド clear mac-address-table で古い情報をクリアしてください 宛先の装置からフレームを送信することでも情報を更新できます Type 表示が Static の場合 コンフィグレーションコマンド mac-address-table static で設定している転送先ポートを確認してください Type 表示が Snoop の場合 IGMP snooping によるマルチキャスト中継ができない および MLD snooping によるマルチキャスト中継ができない を参照してください Type 表示が Dot1x の場合 IEEE802.1X 使用時の通信障害 を参照してください Type 表示が WebAuth の場合 Web 認証使用時の通信障害 を参照してください Type 表示が MacAuth の場合 MAC 認証使用時の通信障害 を参照してください 該当する MAC アドレスが表示されない場合はフラッディングされます 表示されないにも関わらず通信ができない場合は, ポート間中継抑止が設定されていないか確認してください また, ストームコントロール機能で閾値が小さい値になっていないか確認してください (4) フィルタ QoS の確認フィルタによって特定のパケットが廃棄されているか, または QoS 制御のシェーパによってパケットが廃棄されている可能性があります コンフィグレーションのフィルタおよび QoS 制御の設定条件が正しいか, システム構築でのシェーパのシステム運用が適切であるかを確認してください 手順については, フィルタ QoS 設定情報の確認 を参照してください スパニングツリー機能使用時の障害 スパニングツリー機能を使用し, レイヤ 2 通信の障害, またはスパニングツリーの運用状態がネットワーク構成どおりでない場合, 次の表に示す解析方法に従って原因の切り分けを行ってください マルチプルスパニングツリーの場合は,CIST または MST インスタンスごとに確認してください 例えば, ルートブリッジに関して確認するときは,CIST のルートブリッジまたは MST インスタンスごとのルートブリッジと読み替えて確認してください 27

42 表 3-10 スパニングツリーの障害解析方法 項番 確認内容 コマンド 対応 1 障害となっているスパニングツリーに対して運用コマンド show spanning-tree を実行し, スパニングツリーのプロトコル動作状況を確認してください Enable の場合は項番 2 へ Ring Protocol と PVST+ を共存動作させているとき, 対象 VLAN のツリー情報が表示されていない場合は項番 7 へ Disable の場合はスパニングツリーが停止状態になっています 次のコンフィグレーションを確認してください spanning-tree disable switchport backup Ring Protocol とマルチプルスパニングツリーが共存動作している場合は項番 8 へ PVST+ 数が収容条件内に収まっているかを確認してください 2 障害となっているスパニングツリーに対して運用コマンド show spanning-tree を実行し, スパニングツリーのルートブリッジのブリッジ識別子を確認してください 3 障害となっているスパニングツリーに対して運用コマンド show spanning-tree を実行し, スパニングツリーのポート状態, ポート役割を確認してください ルートブリッジのブリッジ識別子がネットワーク構成どおりのルートブリッジになっている場合は項番 3 へ ルートブリッジのブリッジ識別子がネットワーク構成どおりのルートブリッジでない場合は, ネットワーク構成, コンフィグレーションを確認してください スパニングツリーのポート状態, ポート役割がネットワーク構成どおりになっている場合は項番 4 へ ループガード機能を適用しているポートのポート状態が Blocking または Discarding の場合は, そのポートが指定ポートではないか確認してください 指定ポートの場合は, ループガード機能の設定を削除してください スパニングツリーのポート状態, ポート役割がネットワーク構成とは異なる場合は, 隣接装置の状態とコンフィグレーションを確認してください 4 障害となっているスパニングツリーに対して運用コマンド show spanning-tree statistics を実行し, 障害となっているポートで BPDU の送受信を確認してください 5 障害となっているスパニングツリーに対して運用コマンド show spanning-tree detail を実行し, 受信 BPDU のブリッジ識別子を確認してください 6 障害となっているスパニングツリーの最大数が収容条件内か確認してください BPDU の送受信カウンタを確認してください ルートポートの場合 BPDU 受信カウンタがカウントアップされている場合は項番 5 へ カウントアップされていない場合は, フィルタによって BPDU が廃棄されているか, または QoS 制御のシェーパによって BPDU が廃棄されている可能性があります フィルタ QoS 設定情報の確認 を参照して確認してください 問題がない場合は, 隣接装置を確認してください 指定ポートの場合 BPDU 送信カウンタがカウントアップされている場合は項番 5 へ カウントアップされていない場合は, 3.4 ネットワークインタフェースの通信障害 を参照してください 受信 BPDU のルートブリッジ識別子, 送信ブリッジ識別子がネットワーク構成どおりになっていることを確認してください ネットワーク構成と異なっていた場合は隣接装置の状態を確認してください 収容条件の範囲内で設定してください 収容条件については, コンフィグレーションガイド を参照してください 28

43 項番 確認内容 コマンド 対応 7 PVST+ で動作させたい VLAN が, Ring Protocol の vlan-mapping に単一で設定されていることを確認してください 8 MST インスタンスで動作させたい VLAN が,Ring Protocol の vlan-mapping と一致していることを確認してください 対象 VLAN を Ring Protocol の vlan-mapping に設定していない場合は設定してください また,vlan-mapping に VLAN を複数設定している場合は,vlan-mapping の構成を見直して単一 VLAN だけを設定してください 対象 VLAN を Ring Protocol の vlan-mapping に設定していない場合は, マルチプルスパニングツリーで動作する VLAN と一致するように設定してください Ring Protocol 機能使用時の障害 この項では,Autonomous Extensible Ring Protocol の障害について説明します Autonomous Extensible Ring Protocol は, リングトポロジーでのレイヤ 2 ネットワークの冗長化プロトコルで, 以降,Ring Protocol と呼びます Ring Protocol 運用時に通信ができない場合は, 解析フローに従って, 現象を把握し原因の切り分けを行ってください 図 3-2 解析フロー Ring Protocol 運用時に正常に動作しない場合, またはリングネットワークの障害を検出する場合は, 該当のリングネットワークを構成するノードに対して, 次の表に示す障害解析方法に従って, 原因の切り分けを行ってください 以下,IP8800/A260 シリーズについて解析方法を示します ほかの IP8800 シリーズについては, 当該シリーズのマニュアルを参照してください 29

44 表 3-11 Ring Protocol の障害解析方法 項番 確認内容 コマンド 対応 1 運用コマンド show axrp を実行し, Ring Protocol の動作状態を確認してください "Oper State" の内容に "enable" が表示されている場合, 項番 2 へ "Oper State" の内容に "-" が表示されている場合,Ring Protocol が動作するために必要なコンフィグレーションに設定されていないものがあります コンフィグレーションを確認してください "Oper State" の内容に "disable" が表示されている場合,Ring Protocol は無効となっています コンフィグレーションを確認してください "Oper State" の内容に "Not Operating" が表示されている場合,Ring Protocol が動作していません コンフィグレーションに矛盾がないか確認してください 2 運用コマンド show axrp を実行し, 動作モードを確認してください "Mode" と "Attribute" の内容がネットワーク構成どおりの動作モードになっている場合には, 項番 3 へ 上記が異なる場合には, コンフィグレーションを確認してください 3 運用コマンド show axrp を実行し, 各 VLAN グループのリングポート, およびその状態を確認してください 4 運用コマンド show axrp detail を実行し, 制御 VLAN ID を確認してください 5 運用コマンド show axrp detail を実行し,VLAN グループに属している VLAN ID を確認してください 6 運用コマンド show axrp detail を実行し, ヘルスチェックフレームの送信間隔のタイマ値とヘルスチェックフレームの保護時間のタイマ値を確認してください 7 運用コマンド show vlan detail を実行し,Ring Protocol で使用している VLAN とそのポートの状態を確認してください 8 フィルタ,QoS 制御の設定を確認してください 9 スパニングツリーを併用する構成の場合, 仮想リンクの設定を確認してください "Ring Port" と "Role/State" の内容がネットワーク構成どおりのポートと状態になっている場合には, 項番 4 へ 上記が異なる場合には, コンフィグレーションを確認してください "Control VLAN ID" の内容がネットワーク構成どおりの VLAN ID となっている場合は, 項番 5 へ 上記が異なる場合には, コンフィグレーションを確認してください 例 : リングを構成する各装置で制御 VLAN ID が異なっている "VLAN ID" の内容がネットワーク構成どおりの VLAN ID となっている場合は, 項番 6 へ 上記が異なる場合には, コンフィグレーションを確認してください 例 : リングを構成する各装置で VLAN グループに属している VLAN ID が異なっている ヘルスチェックフレームの保護時間のタイマ値 "Health Check Hold Time" が, ヘルスチェックフレームの送信間隔のタイマ値 "Health Check Interval" より大きい ( 伝送遅延も考慮されている ) 場合は, 項番 7 へ ヘルスチェックフレームの保護時間のタイマ値がヘルスチェックフレームの送信間隔のタイマ値より小さい, または等しい ( 伝送遅延が考慮されていない ) 場合には, コンフィグレーションを確認し, 設定を見直してください VLAN およびそのポートの状態に異常がない場合は, 項番 8 へ また, スパニングツリーを併用する構成の場合には項番 9 も, 多重障害監視機能を適用する構成の場合には項番 10 も確認してください 異常がある場合は, コンフィグレーションの確認も含め, その状態を復旧してください フィルタ,QoS 制御によって,Ring Protocol で使用する制御フレームが廃棄されている可能性があります フィルタ QoS 設定情報の確認 を参照し, 確認してください また, マニュアル コンフィグレーションガイド を参照してください 仮想リンクの設定がネットワーク構成どおりの設定となっているか, コンフィグレーションを確認してください Ring Protocol とスパニングツリーを併用している装置で, 仮想リンクの設定がされているか確認してください リングネットワーク全体の装置で, 仮想リンクに使用している VLAN が Ring Protocol の VLAN グループに設定されているか確認してください 30

45 項番 確認内容 コマンド 対応 10 多重障害監視機能を適用している場合は, 運用コマンド show axrp detail を実行し, 多重障害監視の監視モードを確認してください 11 運用コマンド show axrp detail を実行し, バックアップリング ID と多重障害監視用 VLAN ID を確認してください 共有ノードに "monitor-enable", その他の装置に "transport-only" が設定されている場合は, 項番 11 へ 上記が異なる場合には, コンフィグレーションを確認してください "Backup Ring ID" と "Control VLAN ID" がネットワーク構成どおりのバックアップリング ID と多重障害監視用 VLAN ID になっている場合は, 項番 12 へ 上記が異なる場合には, コンフィグレーションを確認してください 12 運用コマンド show axrp detail を実行し, 多重障害監視フレーム送信間隔のタイマ値, および多重障害監視フレームを受信しないで多重障害発生と判断するまでの保護時間のタイマ値を確認してください "Multi Fault Detection Hold Time" が,"Multi Fault Detection Interval" より大きい ( 伝送遅延も考慮されている ) ことを確認してください 上記が異なる場合には, コンフィグレーションを確認してください 31

46 3.5.4 IGMP snooping によるマルチキャスト中継ができない IGMP snooping 使用時にマルチキャスト中継ができない場合は, 解析フローに従い, 次の表に示す対応で現象を把握し, 原因の切り分けを行ってください 図 3-3 解析フロー 表 3-12 マルチキャスト中継の障害解析方法 項番確認内容 コマンド対応 1 マルチキャスト中継されない場合, 運用コマンド show logging による障害発生の有無を確認してください 2 フィルタおよび QoS 制御の設定が正しいか確認してください 以下の内容を確認してください 物理的な障害のログ情報があるかを確認してください フィルタによって特定のパケットが廃棄されている, または QoS 制御のシェーパによってパケットが廃棄されている可能性があります コンフィグレーションのフィルタおよび QoS 制御の設定条件が正しいか, システム構築でのシェーパのシステム運用が適切であるかを確認してください 手順については, フィルタ QoS 設定情報の確認 を参照してください 32

47 項番確認内容 コマンド対応 3 マルチキャスト中継されない場合, IGMP snooping の構成を運用コマンド show igmp-snooping で確認してください 以下の内容を確認してください グループメンバを監視する IGMP クエリアの存在を確認するため, 以下に示すメッセージが表示されていることを確認する (1) IGMP クエリアが存在する場合,IGMP クエリアの IP アドレスが表示されます IGMP querying system: * (2) IGMP クエリアが存在しない場合は, IGMP querying system: の項目内容に何も表示されません IGMP querying system: 本装置が IGMP クエリアの場合,VLAN に IP アドレスが設定されていることを確認してください (1) VLAN に IP アドレスが設定されている場合, メッセージが表示されます IP Address: * (2) VLAN に IP アドレスが設定されていない場合, IP Address: の項目内容に何も表示されません IP Address: マルチキャストルータを接続している場合,mrouter-port を確認してください > show igmp-snooping 3253 Date 20XX/06/01 15:59:14 UTC VLAN counts: 3 VLAN 3253: IP Address: /24 Querier: enable IGMP querying system: Port (4): 0/3-6 Mrouter-port: 0/3-6 Group counts: 5 4 マルチキャスト中継されない場合, 運用コマンド show igmp-snooping group で IPv4 マルチキャストグループアドレスを確認してください 以下の内容を確認してください 加入した IPv4 マルチキャストグループアドレスが show igmp-snooping group で表示されていることを確認してください > show igmp-snooping group 3253 Date 20XX/06/01 16:02:03 UTC Total Groups: 15 VLAN counts: 3 VLAN 3253 Group counts: 5 Group Address MAC Address e00.000b Port-list: 0/ e00.000a Port-list: 0/3 注 本装置が IGMP クエリアの場合は,IGMP querying system で表示されているアドレスと IP Address で表示されているアドレスは一致するが, 他装置が IGMP クエリアの場合は,IGMP querying system で表示されているアドレスと IP Address で表示されているアドレスは一致しません 33

48 3.5.5 MLD snooping によるマルチキャスト中継ができない MLD snooping 使用時にマルチキャスト中継ができない場合は, 解析フローに従い, 次の表に示す対応で現象を把握し, 原因の切り分けを行ってください 図 3-4 解析フロー 表 3-13 マルチキャスト中継の障害解析方法 項番確認内容 コマンド対応 1 マルチキャスト中継されない場合, 運用コマンド show logging による障害発生の有無を確認してください 2 フィルタおよび QoS 制御の設定が正しいか確認してください 以下の内容を確認してください 物理的な障害のログ情報があるかを確認してください フィルタによって特定のパケットが廃棄されている, または QoS 制御のシェーパによってパケットが廃棄されている可能性があります コンフィグレーションのフィルタおよび QoS 制御の設定条件が正しいか, システム構築でのシェーパのシステム運用が適切であるかを確認してください 手順については, フィルタ QoS 設定情報の確認 を参照してください 34

49 項番確認内容 コマンド対応 3 マルチキャスト中継されない場合, MLD snooping の構成を運用コマンド show mld-snooping で確認してください 以下の内容を確認してください グループメンバを監視する MLD クエリアの存在を確認するため, 以下に示すメッセージが表示されていることを確認する (1) MLD クエリアが存在する場合,MLD クエリアの IP アドレスが表示されます MLD querying system: ff03::3 (2) MLD クエリアが存在しない場合は, MLD querying system: の項目内容に何も表示されません 本装置が MLD クエリアの場合, コンフィグレーションコマンド ipv6 mld snooping source で送信元 IP アドレスが設定されていることを確認してください MLD querying system: (3) コンフィグレーションコマンド ipv6 mld snooping source で送信元 IP アドレスが設定されていない場合, IP Address: の項目内容には何も表示されません IP Address: マルチキャストルータを接続している場合,mrouter-port を確認してください > show mld-snooping 300 Date 20XX/06/01 05:40:20 UTC VLAN counts: 3 VLAN 300: IP Address: ff03::3 Querier: enable MLD querying system: ff03::3 Querier version: v1 Port (2): 0/1,0/7 Mrouter-port: 0/1 Group counts: 2 4 マルチキャスト中継されない場合, 運用コマンド show mld-snooping group で IPv6 マルチキャストグループアドレスを確認してください 以下の内容を確認してください 加入した IPv6 マルチキャストグループアドレスが show mld-snooping group で表示されていることを確認してください > show mld-snooping group 300 Date 20XX/06/01 05:39:57 UTC Total Groups: 8 VLAN counts: 3 VLAN 300 Group counts: 2 Group Address MAC Address Version Mode ff03:: v1 - Port-list: 0/7 ff03:: v1 - Port-list: 0/7 注 本装置が MLD クエリアの場合は,MLD querying system で表示されているアドレスと IP Address で表示されているアドレスは一致するが, 他装置が MLD クエリアの場合は,MLD querying system で表示されているアドレスと IP Address で表示されているアドレスは一致しません 35

50 3.6 IPv4 ネットワークの通信障害 通信できない, または切断されている 本装置を使用している IPv4 ネットワーク上で, 通信トラブルが発生する要因として考えられるのは, 次の 3 種類があります 1. IP 通信に関係するコンフィグレーションの変更 2. ネットワークの構成変更 3. ネットワークを構成する機器の障害上記 1. および 2. については, コンフィグレーションおよびネットワーク構成の変更前と変更後の差分を調べていただき, 通信ができなくなるような原因がないか確認してください ここでは,3. に示すように コンフィグレーションおよびネットワーク構成は正しいのに IP 通信ができない, これまで正常に動いていたのに IP 通信ができなくなった というケースを中心に, 障害部位および原因の切り分け手順を説明いたします 障害部位および原因の切り分け方法は, 次のフローに従ってください 図 3-5 IPv4 通信ができない場合の障害解析手順 36

51 注 ネットワークインタフェースの通信障害 を参照してください 注 DHCP サーバ使用時の通信障害 を参照してください 注 フィルタ QoS 設定情報の確認 を参照してください (1) ログの確認通信ができなくなる原因の一つには, 回線の障害 ( または壊れ ) が考えられます 本装置が表示するログで, ハードウェアの障害を示すメッセージの表示手順を示します なお, ログの内容については, メッセージ ログレファレンス を参照してください 1. 本装置にログインします 2. 運用コマンド show logging を使ってログを表示させます 3. ログには各々発生した日時が表示されます 通信ができなくなった日時にログが表示されていないか確認してください 4. 通信ができなくなった日時に表示されているログの障害の内容および障害への対応は メッセージ ログレファレンス に記載しています その指示に従ってください 5. 通信ができなくなった日時にログの表示がないときは, (2) インタフェース状態の確認 に進んでください (2) インタフェース状態の確認本装置のハードウェアは正常に動作している場合でも, 本装置と接続している隣接の装置のハードウェアに障害が発生していることも考えられます 本装置と隣接の装置間の, インタフェースの状態を確認する手順を次に示します 1. 本装置にログインします 2. 運用コマンド show ip interface を使って該当装置間のインタフェースの Up / Down 状態を確認してください 3. 該当インタフェースが Down 状態のときは, 3.4 ネットワークインタフェースの通信障害 を参照してください 4. 該当インタフェースとの間のインタフェースが Up 状態のときは, (3) 障害範囲の特定 ( 本装置から実施する場合 ) に進んでください (3) 障害範囲の特定 ( 本装置から実施する場合 ) 本装置に障害がない場合は, 通信を行っていた相手との間のどこかに障害が発生している可能性があります 通信相手とのどこの部分で障害が発生しているか, 障害範囲を特定する手順を次に示します 1. 本装置にログインします 2. 運用コマンド ping を使って通信できない両方の相手との疎通を確認してください 運用コマンド ping の操作例および実行結果の見方は, コンフィグレーションガイド を参照してください 3. 運用コマンド ping で通信相手との疎通が確認できなかったときは, さらに運用コマンド ping を使って本装置に近い装置から順に通信相手に向けて疎通を確認してください 4. 運用コマンド ping 実行の結果, 障害範囲が隣接装置の場合は (5) 隣接装置との ARP 解決情報の確認 に, リモート先の装置の場合は (6) ユニキャストルーティング情報の確認 に進んでください (4) 障害範囲の特定 ( お客様の端末装置から実施する場合 ) 本装置にログインできない環境にある場合に, お客様の端末装置から通信相手とのどこの部分で障害が発生しているか障害範囲を特定する手順を次に示します 37

52 1. お客様の端末装置に ping 機能があることを確認してください 2. ping 機能をお使いになり, お客様の端末装置と通信相手との疎通ができるか確認してください 3. ping 機能で通信相手との疎通が確認できなかったときは, さらに運用コマンド ping を使ってお客様の端末装置に近い装置から順に通信相手に向けて疎通を確認してください 4. ping 機能による障害範囲が特定できましたら, 障害と考えられる装置が本装置である場合は本装置にログインしていただき, 障害解析フローに従って障害原因の調査を行ってください (5) 隣接装置との ARP 解決情報の確認運用コマンド ping の実行結果によって隣接装置との疎通が不可の場合は,ARP によるアドレスが解決していないことが考えられます 本装置と隣接装置間のアドレス解決状態を確認する手順を次に示します 1. 本装置にログインします 2. 運用コマンド show ip arp を使って隣接装置間とのアドレス解決状態 (ARP エントリ情報の有無 ) を確認してください 3. 隣接装置間とのアドレスが解決している (ARP エントリ情報あり ) 場合は, (6) ユニキャストルーティング情報の確認 に進んでください 4. 隣接装置間とのアドレスが解決していない (ARP エントリ情報なし ) 場合は, 隣接装置と本装置の IP ネットワーク設定が一致しているかを確認してください または, 3.4 ネットワークインタフェースの通信障害 を参照してください (6) ユニキャストルーティング情報の確認隣接装置とのアドレスが解決しているにもかかわらず通信ができない場合や,IPv4 ユニキャスト通信で通信相手との途中の経路で疎通が不可となる, または通信相手までの経路がおかしいなどの場合は, 本装置が取得した経路情報を確認する必要があります 確認手順を次に示します 1. 本装置にログインします 2. 運用コマンド show ip route を実行して, 本装置が取得した経路情報を確認してください 3. 経路情報ありの場合,IPv4 ネットワークインタフェース機能の設定内容を確認してください 4. 経路情報なし, またはネクストホップアドレスが不正だった場合は, 本装置の設定内容を確認してください 5. 本装置が取得した経路情報の中に, 通信障害となっているインタフェースの経路情報がある場合は, 通信不可のインタフェースに設定している次の機能に問題があると考えられます 該当する機能の調査を行ってください DHCP サーバ機能 (7)DHCP サーバ設定情報の確認 に進んでください フィルタ機能 (8) フィルタ QoS 設定情報の確認 に進んでください (7) DHCP サーバ設定情報の確認本装置の DHCP サーバ機能によってクライアントへ IP アドレスを割り振っている場合は, 適切に IP アドレスを割り振れていない可能性があります コンフィグレーションの DHCP サーバ機能の設定条件が正しいか見直してください 手順については, DHCP サーバ使用時の通信障害 を参照してください (8) フィルタ QoS 設定情報の確認フィルタによって特定のパケットが廃棄されているか,QoS 制御のシェーパによってパケットが廃棄されている可能性があります 38

53 コンフィグレーションのフィルタおよび QoS 制御の設定条件が正しいか, システム構築でのシェーパのシステム運用が適切であるか見直してください 手順については, フィルタ QoS 設定情報の確認 を参照してください DHCP サーバ使用時の通信障害 DHCP サーバの通信トラブル ( クライアントにアドレス配信できない ) が発生する要因として考えられるのは, 次の 3 種類があります 1. コンフィグレーションの設定ミス 2. ネットワークの構成変更 3. DHCP サーバの障害まず上記 1. の確認を行ってください コンフィグレーションの設定で間違えやすいものを例にとり説明します 上記 2. については, ネットワーク構成の変更前と変更後の差分を調べていただき, 通信ができなくなるような原因がないか確認してください クライアント / サーバの設定 ( ネットワークカードの設定, ケーブルの接続など ) は確認されている場合, 上記 3. に示すような コンフィグレーションおよびネットワーク構成は正しいのにクライアントに IP アドレスが割り振られず,IP 通信できない, というケースについては, 詳細を (b) 運用ログおよびインタフェースの確認 ~ (d) フィルタ QoS 設定情報の確認 に示します (a) コンフィグレーションの確認 DHCP サーバ上のリソース類のコンフィグレーションの設定ミスによりクライアントに IP アドレスが割り振られないという原因が考えられます コンフィグレーションの確認手順を次に示します DHCP クライアントに割り付ける IP アドレスの network 設定を含む ip dhcp pool 設定が存在することを, コンフィグレーションで確認してください DHCP クライアントに割り付ける IP アドレスプール数がコンフィグレーションコマンド ip dhcp excluded-address によって同時使用するクライアントの台数分以下になっていないかを, コンフィグレーションで確認してください 外部 DHCP サーバを使用している場合は,DHCP リレーエージェントとなる装置の設定を確認してください (b) 運用ログおよびインタフェースの確認クライアントに IP アドレスが割り振られなくなる原因の一つにクライアント-サーバ間で通信ができなくなっていることが考えられます 本装置が表示する運用ログや運用コマンド show ip interface によるインタフェースの up / down 状態を確認してください 手順については 3.4 ネットワークインタフェースの通信障害 を参照してください (c) 障害範囲の特定 ( 本装置から実施する場合 ) 本装置に障害がないときは通信を行っていた相手との間のどこかに障害が発生している可能性があります 通信相手とのどこの部分で障害が発生しているか障害範囲を特定する手順を次に示します 本装置にログインします クライアントとサーバ間に L3 スイッチなどがある場合, 運用コマンド ping を使って通信できない相手 (DHCP クライアント ) との間にある装置 (L3 スイッチ ) の疎通を確認してください 運用コマンド ping で通信相手との疎通が確認できなかったときは, さらに運用コマンド ping を使って本装置からクライアント側に向けて近い装置から順に通信相手に向けて疎通を確認してください 運用コマンド ping の操作例および実行結果の見方は, コンフィグレーションガイド を参照してください サーバとクライアントが直結の場合,HUB やケーブルの接続を確認してください 39

54 (d) フィルタ QoS 設定情報の確認本装置において物理的障害がないにもかかわらず通信ができない場合は, フィルタ機能により特定のパケットだけが廃棄されているか, あるいは QoS 機能のシェーパによりパケットが廃棄されている可能性があります 従って, コンフィグレーションのフィルタ機能および QoS 機能の設定条件が正しいか, システム構築でのシェーパがシステム運用が適切であるか, 本装置およびクライアント サーバ間にある中継装置でも見直しを行ってください 手順については フィルタ QoS 設定情報の確認 を参照してください (e) レイヤ2ネットワークの確認 (a) から (e) までの手順で設定ミスや障害が見つからない場合は, レイヤ 2 ネットワークに問題がある可能性があります 3.5 レイヤ 2 ネットワークの通信障害 を参考にレイヤ 2 ネットワークの確認を行ってください 40

55 3.7 IPv6 ネットワークの通信障害 通信できない, または切断されている 本装置を使用している IPv6 ネットワーク上で, 通信トラブルが発生する要因として考えられるのは, 次の 3 種類があります 1. IPv6 通信に関係するコンフィグレーションの変更 2. ネットワークの構成変更 3. ネットワークを構成する機器の障害上記 1. および 2. については, コンフィグレーションおよびネットワーク構成の変更前と変更後の差分を調べていただき, 通信ができなくなるような原因がないか確認してください ここでは,3. に示すように コンフィグレーションおよびネットワーク構成は正しいのに IPv6 通信ができない, これまで正常に動いていたのに IPv6 通信ができなくなった というケースを中心に, 障害部位および原因の切り分け手順を説明いたします 障害部位および原因の切り分け方法は, 次のフローに従ってください 図 3-6 IPv6 通信ができない場合の障害解析手順 41

56 注 ネットワークインタフェースの通信障害 を参照してください 注 フィルタ QoS 設定情報の確認 を参照してください (1) ログの確認通信ができなくなる原因の一つには, 回線の障害 ( または壊れ ) が考えられます 本装置が表示するログで, ハードウェアの障害を示すメッセージの表示手順を示します なお, ログの内容については, マニュアル メッセージ ログレファレンス を参照してください 1. 本装置にログインします 2. 運用コマンド show logging を使ってログを表示させます 3. ログには各々発生した日時が表示されます 通信ができなくなった日時にログが表示されていないか確認してください 4. 通信ができなくなった日時に表示されているログの障害の内容および障害への対応については, マニュアル メッセージ ログレファレンス に記載しています その指示に従ってください 5. 通信ができなくなった日時にログの表示がないときは, (2) インタフェース状態の確認 に進んでください (2) インタフェース状態の確認本装置のハードウェアは正常に動作している場合でも, 本装置と接続している隣接の装置のハードウェアに障害が発生していることも考えられます 本装置と隣接の装置間の, インタフェースの状態を確認する手順を次に示します 1. 本装置にログインします 2. 運用コマンド show ipv6 interface を使って該当装置間のインタフェースの Up / Down 状態を確認してください 3. 該当インタフェースが "Down" 状態のときは, 3.4 ネットワークインタフェースの通信障害 を参照してください 4. 該当インタフェースとの間のインタフェースが "Up" 状態のときは, (3) 障害範囲の特定 ( 本装置から実施する場合 ) に進んでください (3) 障害範囲の特定 ( 本装置から実施する場合 ) 本装置に障害がない場合は, 通信を行っていた相手との間のどこかに障害が発生している可能性があります 通信相手とのどこの部分で障害が発生しているか障害範囲を特定する手順を次に示します 1. 本装置にログインします 2. 運用コマンド ping ipv6 を使って通信できない両方の相手との疎通を確認してください 運用コマンド ping ipv6 の操作例および実行結果の見方については, マニュアル コンフィグレーションガイド を参照してください 3. 運用コマンド ping ipv6 で通信相手との疎通が確認できなかった場合は, さらに運用コマンド ping ipv6 を使って本装置に近い装置から順に通信相手に向けて疎通を確認してください 4. 運用コマンド ping ipv6 実行の結果, 障害範囲が隣接装置の場合は (5) 隣接装置との NDP 解決情報の確認 に, リモート先の装置の場合は (6) デフォルトゲートウェイ情報の確認 に進んでください (4) 障害範囲の特定 ( お客様の端末装置から実施する場合 ) 本装置にログインできない環境にある場合に, お客様の端末装置から通信相手とのどこの部分で障害が発生しているか障害範囲を特定する手順を次に示します 42

57 1. お客様の端末装置に ping ipv6 機能があることを確認してください 2. ping ipv6 機能をお使いになり, お客様の端末装置と通信相手との疎通ができるか確認してください 3. ping ipv6 機能で通信相手との疎通が確認できなかった場合は, さらに運用コマンド ping ipv6 を使ってお客様の端末装置に近い装置から順に通信相手に向けて疎通を確認してください 4. ping ipv6 機能による障害範囲が特定できましたら, 障害と考えられる装置が本装置である場合は本装置にログインしていただき, 障害解析フローに従って障害原因の調査を行ってください (5) 隣接装置との NDP 解決情報の確認運用コマンド ping ipv6 の実行結果によって隣接装置との疎通が不可の場合は,NDP によるアドレスが解決していないことが考えられます 本装置と隣接装置間のアドレス解決状態を確認する手順を次に示します 1. 本装置にログインします 2. 運用コマンド show ipv6 neighbors を使って隣接装置間とのアドレス解決状態 (NDP エントリ情報の有無 ) を確認してください 3. 隣接装置間とのアドレスが解決している (NDP エントリ情報あり ) 場合は, (6) デフォルトゲートウェイ情報の確認 に進んでください 4. 隣接装置間とのアドレスが解決していない (NDP エントリ情報なし ) 場合は, 隣接装置と本装置の IP ネットワーク設定が一致しているかを確認してください または, 3.4 ネットワークインタフェースの通信障害 を参照してください (6) デフォルトゲートウェイ情報の確認隣接装置とのアドレスが解決しているにもかかわらず通信ができない場合や,IPv6 通信で通信相手との途中の経路で疎通が不可となる, または通信相手までの経路がおかしいなどの場合は, 本装置が取得したデフォルトゲートウェイ情報を確認する必要があります 確認手順を次に示します 1. 本装置にログインします 2. 運用コマンド show ipv6 router-advertisement を実行して, 本装置が取得したデフォルトゲートウェイ情報を確認してください 3. デフォルトゲートウェイ情報ありの場合は,IPv6 ネットワークインタフェース機能の設定内容を確認してください 4. デフォルトゲートウェイ情報なしの場合は, ルータの設定内容を確認してください 5. 本装置が取得したデフォルトゲートウェイ情報の中に, 通信障害となっているインタフェースのデフォルトゲートウェイ情報がある場合は, 通信不可のインタフェースに設定している次の機能に問題があると考えられます 該当する機能の調査を行ってください フィルタ / QoS 機能 (7) フィルタ QoS 設定情報の確認 に進んでください (7) フィルタ QoS 設定情報の確認フィルタによって特定のパケットが廃棄されているか,QoS 制御のシェーパによってパケットが廃棄されている可能性があります コンフィグレーションのフィルタおよび QoS 制御の設定条件が正しいか, システム構築でのシェーパのシステム運用が適切であるか見直してください 手順については, フィルタ QoS 設定情報の確認 を参照してください 43

58 3.8 レイヤ 2 認証の通信障害 IEEE802.1X 使用時の通信障害 IEEE802.1X 使用時に通信ができない場合は, 次の表に示す障害解析方法に従って原因の切り分けを行ってください 表 3-14 IEEE802.1X の障害解析方法 項番 確認内容 コマンド 対応 1 運用コマンド show dot1x を実行し, IEEE802.1X の動作状態を確認してください 2 運用コマンド show dot1x statistics を実行し,EAPOL のやりとりが行われていることを確認してください 3 運用コマンド show dot1x statistics を実行し,RADIUS サーバへの送信が行われていることを確認してください System 802.1X : Disable または Dot1x doesn't seem to be running の場合 IEEE802.1X が停止しています コンフィグレーションコマンド dot1x system-auth-control が設定されているかコンフィグレーションを確認してください System 802.1X : Enable の場合は項番 2 へ [EAPOL frames] の RxTotal が 0 の場合は端末から EAPOL が送信されていません また,RxInvalid または RxLenErr が 0 でない場合は端末から不正な EAPOL を受信しています 不正な EAPOL を受信した場合はログを採取します ログは運用コマンド show dot1x logging で閲覧できます また, ログは Invalid EAPOL frame received メッセージと共に不正な EAPOL の内容となります 上記に該当する場合は端末の Supplicant の設定を確認してください 上記に該当しない場合は項番 3 へ [EAPoverRADIUS frames] の TxTotal が 0 の場合は RADIUS サーバへの送信が行われていません 以下について確認してください コンフィグレーションコマンドで aaa authentication dot1x default group radius が設定されているか確認してください コンフィグレーションコマンド dot1x radius-server host または radius-server host が正しく設定されているか確認してください ポート単位認証 ( 静的 ) 認証端末の MAC アドレスがコンフィグレーションコマンド mac-address-table static で登録されていないことを確認してください ポート単位認証 ( 動的 ) 認証端末の MAC アドレスがコンフィグレーションコマンド mac-address-table static と mac-address で登録されていないことを確認してください 上記に該当しない場合は項番 4 へ 4 運用コマンド show dot1x statistics を実行し,RADIUS サーバからの受信が行われていることを確認してください 5 運用コマンド show dot1x logging を実行し,RADIUS サーバとのやりとりを確認してください [EAPoverRADIUS frames] の RxTotal が 0 の場合は RADIUS サーバからのパケットを受信していません 以下について確認してください RADIUS サーバがリモートネットワークに収容されている場合はリモートネットワークへの経路が存在することを確認してください RADIUS サーバのポートが認証対象外となっていることを確認してください 上記に該当しない場合は項番 5 へ Invalid EAP over RADIUS frames received がある場合 RADIUS サーバから不正なパケットを受信しています RADIUS サーバが正常に動作しているか確認してください Failed to connect to RADIUS server がある場合,RADIUS サーバへの接続が失敗しています RADIUS サーバが正常に動作しているか確認してください 上記に該当しない場合は項番 6 へ 44

59 項番 確認内容 コマンド 対応 6 運用コマンド show dot1x logging を実行し, 認証が失敗していないか確認してください RADIUS authentication failed がある場合以下の要因で認証が失敗しています 問題ないか確認してください (1) ユーザ ID またはパスワードが認証サーバに登録されていない (2) ユーザ ID またはパスワードの入力ミス The number of supplicants on the switch is full がある場合装置の最大 supplicant 数を超えたため, 認証が失敗しています Failed to authenticate the supplicant because it could not be registered to mac-address-table. がある場合認証は成功したが, ハードウェアの MAC アドレステーブル設定に失敗しています メッセージ ログレファレンス の該当個所を参照し, 記載されている [ 対応 ] に従って対応してください 上記に該当しない場合で認証モードがポート単位認証 ( 動的 ) は項番 7 へ, それ以外は RADIUS サーバのログを参照して認証が失敗していないか確認してください 7 運用コマンド show dot1x logging を実行し, ポート単位認証 ( 動的 ) の動的割り当てが失敗していないか確認してください Failed to assign VLAN (Reason:xxxxx) がある場合, 以下の (Reason:xxxxx) を確認してください (Reason: No Tunnel-Type Attribute) RADIUS 属性に Tunnel-Type 属性がないため, 動的割り当てに失敗しています RADIUS サーバの RADIUS 属性に Tunnel-Type 属性を設定してください (Reason: Tunnel-Type Attribute is not VLAN(13) RADIUS 属性の Tunnel-Type 属性が値 (13) でないため, 動的割り当てに失敗しています RADIUS サーバの RADIUS 属性の Tunnel-Type 属性に VLAN(13) を設定してください (Reason: No Tunnel-Medium-Type Attribute) RADIUS 属性の Tunnel-Medium-Type 属性がないため, 動的割り当てに失敗しています RADIUS サーバの RADIUS 属性に Tunnel-Medium-Type 属性を設定してください (Reason: Tunnel-Medium-Type Attribute is not IEEE802(6)) Tunnel-Medium-Type 属性の値が IEEE802(6) でないか, または Tunnel-Medium-Type の値は一致しているが Tag 値が Tunnel-Type 属性の Tag と一致していないため動的割り当てに失敗しています RADIUS サーバの RADIUS 属性の Tunnel-Medium-Type 属性の値または Tag を正しい値に設定してください (Reason: Invalid Tunnel-Private-Group-ID Attribute) RADIUS 属性の Tunnel-Private-Group-ID 属性に不正な値が入っているため, 動的割り当てに失敗しています RADIUS サーバの RADIUS 属性の Tunnel-Private-Group-ID 属性に正しい VLAN ID を設定してください RADIUS サーバに VLAN 名称で登録している場合は, 該当 VLAN のコンフィグレーションコマンド name 2 と一致しているか確認してください 45

60 項番 確認内容 コマンド 対応 (Reason: The port doesn't belong to VLAN) 認証ポートが RADIUS 属性の Tunnel-Private-Group-ID 属性に指定された VLAN ID に属していないため, 動的割り当てに失敗しています RADIUS サーバの RADIUS 属性の Tunnel-Private-Group-ID 属性に設定された VLAN ID と, 認証対象ポートの VLAN ID 1 が一致するように設定してください RADIUS サーバに VLAN 名称で登録している場合は, 該当 VLAN のコンフィグレーションコマンド name 2 と一致しているか確認してください 上記に該当しない場合は,RADIUS サーバのログを参照して認証が失敗していないか確認してください 8 ポート単位認証 ( 静的 ) 使用時に NAP 検疫システムと連携して認証できないときは, 認証専用 IPv4 アクセスリストの設定を確認してください 認証専用 IPv4 アクセスリストに検疫サーバ宛のアクセス許可が設定されていることを確認してください RADIUS サーバの RADIUS 属性の Filter-ID と, 本装置の認証専用 IPv4 アクセスリスト名が一致するよう設定してください 注 1 コンフィグレーションコマンドの設定が下記に該当するか確認してください 1. switchport mac vlan および no switchport mac auto-vlan 設定無の場合 vlan mac-based で RADIUS サーバの VLAN ID が設定されていること switchport mac dot1q vlan と一致していないこと 2. switchport mac vlan および no switchport mac auto-vlan 設定有の場合 switchport mac vlan と一致していること注 2 コンフィグレーションコマンド name で設定する VLAN 名称を,RADIUS 認証の認証後 VLAN として使用するときは下記に注意してください VLAN 名称が, 複数の VLAN で重複しないように設定してください VLAN 名称が重複していると, 重複しているうちで最も小さい VLAN ID が RADIUS 認証の認証後 VLAN として割り当てられます VLAN 名称の先頭に数字を指定しないでください 先頭の数字を VLAN ID として認識し, 認証に失敗する場合があります IEEE802.1X が動作するポートまたは VLAN で通信ができない場合は, 次の表に示す障害解析方法に従って原因の切り分けを行ってください 該当しない場合は, 3.5 レイヤ 2 ネットワークの通信障害 を参照してください 表 3-15 IEEE802.1X の通信障害解析方法 項番 確認内容 コマンド 対応 1 認証済み端末が同一 VLAN 内の非認証ポートに移動していないか確認してください 本装置で認証している端末が, 非認証ポートに移動した場合, 認証情報が解除されないと通信ができません 運用コマンド clear dot1x auth-state を使用して, 対象端末の認証状態を解除してください 46

61 3.8.2 Web 認証使用時の通信障害 Web 認証使用時の障害については, 次の表に示す障害解析方法に従って原因の切り分けを行ってください 表 3-16 Web 認証の障害解析方法 項番 確認内容 コマンド 対応 1 端末にログイン画面が表示されるかを確認してください 2 ログイン, ログアウトの URL が合っているかを確認してください 3 固定 VLAN モード, ダイナミック VLAN モードで Web 認証専用 IP アドレスまたは URL リダイレクトの設定を確認してください 4 認証専用 IPv4 アクセスリストの設定を確認してください 5 運用コマンド show web-authentication user でユーザ ID が登録されているかを確認してください 6 入力したパスワードが合っているかを確認してください ログイン画面とログアウト画面が表示されない場合は項番 2 へ ローカル認証方式でログイン画面が表示される場合は項番 5 へ RADIUS 認証方式でログイン画面が表示される場合は項番 7 へ ログイン, ログアウトの URL が違っている場合は, 正しい URL を使用してください Web 認証専用 IP アドレスを設定している場合,Web 認証を実施する VLAN( ダイナミック VLAN 固定 VLAN) に IP アドレスがコンフィグレーションコマンド ip address で設定されていることを確認してください 固定 VLAN モードまたはダイナミック VLAN モードの場合は項番 3 へ 上記に該当しない場合は項番 9 へ Web 認証専用 IP アドレスがコンフィグレーションコマンド web-authentication ip address で設定されているか, または URL リダイレクトがコンフィグレーションコマンド web-authentication redirect enable で有効となっているか確認してください URL リダイレクトが有効な場合, 固定 VLAN モードまたはダイナミック VLAN モードの認証対象 VLAN に,IP アドレスがコンフィグレーションコマンド ip address で設定されていることを確認してください 上記に該当しない場合は項番 4 へ 認証前状態の端末から本装置外に特定のパケット通信を行う場合, 認証専用 IPv4 アクセスリストが設定されていることを確認してください また, 認証対象ポートに通常のアクセスリストと認証専用 IPv4 アクセスリストの両方を設定した場合, 認証専用 IPv4 アクセスリストに設定したフィルタ条件が通常のアクセスリストにも設定されていることを確認してください 認証対象ポートに対する通常のアクセスリストおよび認証専用 IPv4 アクセスリストに,IP パケットを廃棄するフィルタ条件 (deny ip など ) が設定されていないことを確認してください 認証専用 IPv4 アクセスリストのフィルタ条件の宛先 IP アドレスに, any が設定されていないことを確認してください 上記に該当しない場合は項番 10 へ ユーザ ID が登録されていない場合は, 運用コマンド set web-authentication user でユーザ ID, パスワード, および VLAN ID を登録してください 登録後は, 運用コマンド commit web-authentication で運用に反映してください 上記に該当しない場合は項番 6 へ パスワードが一致していない場合は, 運用コマンド set web-authentication passwd でパスワードを変更するか, 運用コマンド remove web-authentication user でユーザ ID をいったん削除したあとに, 運用コマンド set web-authentication user で, 再度ユーザ ID, パスワード, および VLAN ID を登録してください 変更後は, 運用コマンド commit web-authentication で運用に反映してください 上記に該当しない場合は項番 10 へ 47

62 項番 確認内容 コマンド 対応 7 運用コマンド show web-authentication statistics で RADIUS サーバとの通信状態を確認してください 8 RADIUS サーバにユーザ ID およびパスワードが登録されているかを確認してください 表示項目 "[RADIUS frames]" の "TxTotal" の値が "0" の場合は, 下記のコンフィグレーションが正しく設定されているか確認してください aaa authentication web-authentication default web-authentication radius-server host または radius-server host 上記に該当しない場合は項番 8 へ ユーザ ID が登録されていない場合は,RADIUS サーバに登録してください 固定 VLAN モード RADIUS サーバの NAS-Identifier の VLAN ID が認証対象端末が所属する VLAN ID と一致しているか確認してください ダイナミック VLAN モード RADIUS サーバの RADIUS 属性の Tunnel-Private-Group-ID 属性に設定された VLAN ID と, 認証対象ポートの VLAN ID 1 が一致するように設定してください RADIUS サーバに VLAN 名称で登録している場合は, 該当 VLAN のコンフィグレーションコマンド name 2 と一致しているか確認してください 上記に該当しない場合は項番 10 へ 9 運用コマンド show logging で "HTTP server initialization failed." が採取されているか確認してください 10 運用コマンド show web-authentication statistics で Web 認証の統計情報が表示されるかを確認してください 11 コンフィグレーションコマンド web-authentication system-auth-control が設定されているかを確認してください 12 show web-authentication logging コマンドを実行し, 動作に問題がないかを確認してください 採取されている場合は,SSL の証明書および秘密鍵が正しくありません 正しい証明書および秘密鍵を入手し, 装置に再インストールしてください 上記に該当しない場合は項番 10 へ Web 認証の統計情報が表示されない場合は項番 11 へ 上記に該当しない場合は項番 12 へ コンフィグレーションコマンド web-authentication system-auth-control が設定されていない場合は, 設定してください 上記に該当しない場合は項番 12 へ 動作ログ種別 LOGIN で, 下記の動作ログが表示されていない場合は認証に失敗しています Login succeeded Login update succeeded 動作ログ内容を確認して,RADIUS サーバ, 内蔵 Web 認証 DB, コンフィグレーションなどの設定内容を見直してください ( 動作ログ内容は, 運用コマンドレファレンスを参照してください ) 認証端末が接続されているポートの認証情報が表示されない場合は, コンフィグレーションコマンド web-authentication port で認証対象ポートが正しく設定されているか確認してください 端末が接続されている認証対象ポートがリンクダウンまたはシャットダウンしていないことを確認してください 上記以外の場合は Web 認証のコンフィグレーションを確認してください 注 1 コンフィグレーションコマンドの設定が下記に該当するか確認してください 1. switchport mac vlan および no switchport mac auto-vlan 設定無の場合 vlan mac-based で RADIUS サーバの VLAN ID が設定されていること switchport mac dot1q vlan と一致していないこと 2. switchport mac vlan および no switchport mac auto-vlan 設定有の場合 48

63 switchport mac vlan と一致していること注 2 コンフィグレーションコマンド name で設定する VLAN 名称を,RADIUS 認証の認証後 VLAN として使用するときは下記に注意してください VLAN 名称が, 複数の VLAN で重複しないように設定してください VLAN 名称が重複していると, 重複しているうちで最も小さい VLAN ID が RADIUS 認証の認証後 VLAN として割り当てられます VLAN 名称の先頭に数字を指定しないでください 先頭の数字を VLAN ID として認識し, 認証に失敗する場合があります Web 認証に関係するコンフィグレーションは次の点を確認してください 表 3-17 Web 認証のコンフィグレーションの確認 項番 確認内容 コマンド 対応 1 Web 認証のコンフィグレーション 次のコンフィグレーションコマンドが正しく設定されていることを確認してください Web 認証共通 aaa authentication web-authentication default group radius web-authentication auto-logout web-authentication max-timer web-authentication system-auth-control 固定 VLAN モード web-authentication port authentication arp-relay authentication ip access-group web-authentication redirect enable web-authentication redirect-mode ダイナミック VLAN モード web-authentication port authentication arp-relay authentication ip access-group web-authentication redirect enable web-authentication redirect-mode 2 VLAN インタフェースの IP アドレス設定 固定 VLAN モード 対象 VLAN インタフェースに IP アドレスが正しく設定されていることを確認してください ダイナミック VLAN モード 次の各 VLAN インタフェースに IP アドレスが正しく設定されていることを確認してください 認証前 VLAN 認証後 VLAN 3 DHCP サーバの設定 DHCP サーバ使用時は, DHCP サーバ使用時の通信障害 を参 照してください 4 フィルタ設定 フィルタによって特定のパケットが廃棄されているか, または QoS 制御のシェーパによってパケットが廃棄されている可能性があります コンフィグレーションのフィルタおよび QoS 制御の設定条件が正しいか, システム構築でのシェーパのシステム運用が適切であるかを確認してくだ さい 手順については フィルタ QoS 設定情報の確認 を参 照してください 49

64 項番 確認内容 コマンド 対応 5 認証専用 IPv4 アクセスリストの設定 認証前状態の端末から本装置外に通信するために必要なフィルタ条件が, コンフィグレーションコマンド authentication ip access-group および ip access-list extended で正しく設定されていることを確認してください 6 ARP パケット中継の設定 認証前状態の端末から本装置外の機器宛に ARP パケットを通信させるためのコンフィグレーションコマンド authentication arp-relay が正しく設定されていることを確認してください MAC 認証使用時の通信障害 MAC 認証使用時に通信ができない場合は, 次の表に示す障害解析方法に従って原因の切り分けを行ってください 表 3-18 MAC 認証使用時の障害解析方法 項番 確認内容 コマンド 対応 1 端末が通信できるか確認してください ローカル認証方式で認証できない場合は項番 2 へ RADIUS 認証方式で認証できない場合は項番 3 へ 上記に該当しない場合は項番 6 へ 2 運用コマンド show mac-authentication mac-address で MAC アドレスと VLAN ID が登録されているこを確認してください MAC アドレスが登録されていない場合は, 運用コマンド set mac-authentication mac-address で MAC アドレスおよび VLAN ID を登録してください 登録後は, 運用コマンド commit mac-authentication で運用に反映してください 固定 VLAN モード コンフィグレーションコマンド mac-authentication vlan-check を設定している場合は,MAC アドレスと認証対象端末が所属する VLAN ID が登録されていることを確認してください ダイナミック VLAN モード MAC アドレスと認証後 VLAN ID が登録されていることを確認してください 上記以外で固定 VLAN モードまたはダイナミック VLAN モードの場合は項番 5 へ 上記に該当しない場合は項番 6 へ 3 RADIUS サーバに MAC アドレスが登録されているかを確認してください RADIUS サーバのユーザ ID として,MAC アドレスが登録されていない場合は,RADIUS サーバに登録してください ユーザ ID およびパスワードに MAC アドレスが登録されている場合は,MAC アドレスの値を確認してください また,MAC アドレス形式が, コンフィグレーションコマンド mac-authentication id-format の設定と一致しているか確認してください パスワードに任意文字列を登録している場合は, コンフィグレーションコマンド mac-authentication password で設定した文字列と一致しているか確認してください 固定 VLAN モード RADIUS サーバの NAS-Identifier の VLAN ID が認証対象端末が所属する VLAN ID と一致しているか確認してください コンフィグレーションコマンド mac-authentication vlan-check を設定している場合は, ユーザ ID の登録文字列が mac-authentication vlan-check で設定した区切り文字列および VLAN ID と一致しているか確認してください 50

65 項番 確認内容 コマンド 対応 ダイナミック VLAN モード RADIUS サーバの RADIUS 属性の Tunnel-Private-Group-ID 属性に設定された VLAN ID と, 認証対象ポートの VLAN ID 1 が一致するように設定してください RADIUS サーバに VLAN 名称で登録している場合は, 該当 VLAN のコンフィグレーションコマンド name 2 と一致しているか確認してください 上記に該当しない場合は項番 4 へ 4 運用コマンド show mac-authentication statistics で RADIUS サーバとの通信状態を確認してください 表示項目 "[RADIUS frames]" の "TxTotal" の値が "0" の場合は, 下記のコンフィグレーションが正しく設定されているか確認してください aaa authentication mac-authentication default mac-authentication radius-server host または radius-server host 固定 VLAN モードまたはダイナミック VLAN モードの場合は項番 5 へ 上記に該当しない場合は項番 6 へ 5 認証専用 IPv4 アクセスリストの設定を確認してください 6 運用コマンド show mac-authentication statistics で MAC 認証の統計情報が表示されるかを確認してください 7 コンフィグレーションコマンド mac-authentication system-auth-control が設定されているかを確認してください 8 運用コマンド show mac-authentication logging を実行し, 動作に問題がないかを確認してください 認証前状態の端末から本装置外に特定のパケット通信を行う場合, 認証専用 IPv4 アクセスリストが設定されていることを確認してください また, 認証対象ポートに通常のアクセスリストと認証専用 IPv4 アクセスリストの両方を設定した場合, 認証専用 IPv4 アクセスリストに設定したフィルタ条件が通常のアクセスリストにも設定されていることを確認してください 認証専用 IPv4 アクセスリストのフィルタ条件の宛先 IP アドレスに, any が設定されていないことを確認してください 上記に該当しない場合は項番 6 へ MAC 認証の統計情報が表示されない場合は項番 7 へ 上記に該当しない場合は項番 8 へ コンフィグレーションコマンド mac-authentication system-auth-control が設定されていない場合は, 設定してください 上記に該当しない場合は項番 8 へ 動作ログ種別 LOGIN で, 下記の動作ログが表示されている合は認証に失敗しています Login failed : xxxxxxxxxxx 動作ログ内容を確認して,RADIUS サーバ, 内蔵 MAC 認証 DB, コンフィグレーションなどの設定内容を見直してください 動作ログ内容は, 運用コマンドレファレンスを参照してください 認証端末が接続されているポートの認証情報が表示されない場合は, コンフィグレーションコマンド mac-authentication port で認証対象ポートが正しく設定されているか確認してください 端末が接続されている認証対象ポートがリンクダウンまたはシャットダウンしていないことを確認してください 上記以外の場合は,MAC 認証のコンフィグレーションを確認してください 注 1 コンフィグレーションコマンドの設定が下記に該当するか確認してください 1. switchport mac vlan および no switchport mac auto-vlan 設定無の場合 vlan mac-based で RADIUS サーバの VLAN ID が設定されていること switchport mac dot1q vlan と一致していないこと 51

66 2. switchport mac vlan および no switchport mac auto-vlan 設定有の場合 switchport mac vlan と一致していること注 2 コンフィグレーションコマンド name で設定する VLAN 名称を,RADIUS 認証の認証後 VLAN として使用するときは下記に注意してください VLAN 名称が, 複数の VLAN で重複しないように設定してください VLAN 名称が重複していると, 重複しているうちで最も小さい VLAN ID が RADIUS 認証の認証後 VLAN として割り当てられます VLAN 名称の先頭に数字を指定しないでください 先頭の数字を VLAN ID として認識し, 認証に失敗する場合があります MAC 認証に関係するコンフィグレーションは次の点を確認してください 表 3-19 MAC 認証のコンフィグレーションの確認 項番 確認内容 コマンド 対応 1 MAC 認証のコンフィグレーション 次のコンフィグレーションコマンドが正しく設定されていることを確認してください MAC 認証共通 aaa authentication mac-authentication default group radius mac-authentication access-group mac-authentication auto-logout mac-authentication id-format mac-authentication interface mac-authentication max-timer mac-authentication password mac-authentication system-auth-control 固定 VLAN モード mac-authentication port mac-authentication vlan-check authentication arp-relay authentication ip access-group ダイナミック VLAN モード mac-authentication port authentication arp-relay authentication ip access-group 2 VLAN インタフェースの設定 固定 VLAN モード 対象 VLAN インタフェースに IP アドレスが正しく設定されていること を確認してください ダイナミック VLAN モード 次の各 VLAN インタフェースに IP アドレスが正しく設定されていることを確認してください 認証前 VLAN 認証後 VLAN 3 フィルタ設定 フィルタによって特定のパケットが廃棄されているか, または QoS 制御のシェーパによってパケットが廃棄されている可能性があります コンフィグレーションのフィルタおよび QoS 制御の設定条件が正しいか, システム構築でのシェーパのシステム運用が適切であるかを確認してくだ さい 手順については フィルタ QoS 設定情報の確認 を参 照してください 52

67 項番 確認内容 コマンド 対応 4 認証専用 IPv4 アクセスリストの設定 認証前状態の端末から本装置外に通信するために必要なフィルタ条件が, コンフィグレーションコマンド authentication ip access-group および ip access-list extended で正しく設定されていることを確認してください 5 ARP パケット中継の設定 認証前状態の端末から本装置外の機器宛に ARP パケットを通信させる ためのコンフィグレーションコマンド authentication arp-relay が正し く設定されていることを確認してください 53

68 3.9 セキュリティ機能の通信障害 DHCP snooping 機能使用時の障害 (1) DHCP クライアント端末から通信ができない場合 DHCP snooping 機能を使用時に,DHCP クライアント端末から通信ができない場合は, 次の表に従って対処してください 表 3-20 DHCP クライアント端末から通信ができない場合の対処方法 項番 確認内容 コマンド 対応 1 運用コマンド show ip dhcp snooping binding でバインディングデータベースに該当端末の IP アドレスと MAC アドレスが登録されているか確認してください 2 DHCP サーバおよび DHCP クライアント端末の接続を確認してください 登録されている場合, 項番 4 へ 登録されていない場合, 項番 2 へ DHCP サーバが trust ポートに接続されているか確認してください untrust ポートに接続されている場合は,trust ポートに接続しなおしてください DHCP クライアント端末が untrust ポートに接続されているか確認してください trust ポートに接続されている場合は,untrust ポートに接続しなおしてください 接続があっている場合, 項番 3 へ 3 DHCP クライアント端末側で,IP アドレスの解放を実行してみてください 4 フィルタやレイヤ 2 認証機能の設定が正しいか確認してください 本装置が電源 OFF/ON などで再起動した可能性があります IP アドレスの解放を実行してください 例 )Windows の場合は, コマンドプロンプトから,ipconfig /release を実行した後に,ipconfig /renew を実行してください フィルタによって特定のパケットが廃棄されている, または端末を接続しているポートや VLAN がレイヤ 2 認証機能の対象のため, 認証されていない可能性があります コンフィグレーションのフィルタやレイヤ 2 認証機能の設定条件が正しいか確認してください (2) バインディングデータベースを保存できない場合 DHCP snooping 機能使用時に, バインディングデータベースを保存できない場合は, 次の表に従って対処してください 54

69 (a) 内蔵フラッシュメモリに保存できない 表 3-21 バインディングデータベースの保存先が内蔵フラッシュメモリの場合 項番 確認内容 コマンド 対応 1 運用コマンド show ip dhcp snooping binding で保存時間を確認してください Agent URL に " - " を表示している場合は, 項番 2 へ 保存契機 から, コンフィグレーションで設定した書き込み指定時間 が経過していないため, 保存を実施していない可能性があります しばらくおまちください 保存契機 から, 書込み指定時間 が満了している場合で Last succeeded time : - の場合は, 項番 3 へ Last succeeded time : 時間が保存契機より以前の時間の場合は, 項番 3 へ 2 運用コマンド show running-config でコンフィグレーションを確認してください 3 運用コマンド show logging でバインディングデータベース保存の運用ログを確認してください 4 再起動後, 運用コマンド show logging でバインディングデータベース保存の運用ログを確認してください ip dhcp snooping database url flash が設定されている場合は, 項番 3 へ 設定されていない場合は, コンフィグレーションコマンド ip dhcp snooping database url flash を設定してください It was not able to store binding database in flash. が採取されている 場合は, 下記の手順で保存先を MC に変更してみてください 1. コンフィグレーションコマンド ip dhcp snooping database url で保 存先を MC に変更します 2. save コマンドでコンフィグレーションを保存します 3. 装置に MC を挿入します 4. 装置を再起動してください 5. 保存先を再び内蔵フラッシュメモリに戻します 6. save コマンドでコンフィグレーションを保存します 7. 装置を再起動してください 項番 4 へ 項番 3 と同じだった場合は, 内蔵フラッシュメモリが壊れている可能性があります 下記の手順で装置を交換してください 1. 運用コマンド backup を実行します ( このとき MC 内には, 運用コマンド backup で指定したファイルと, 項番 3 の対応で保存したコンフィグレーションコマンド ip dhcp snooping database url mc で指定したファイルが保存されています ) 2. 装置を交換します 3. 交換した装置に MC を挿入します 4. 運用コマンド restore を実行します ( 運用コマンド backup でバックアップした内容が装置に復元されます ) 5. コンフィグレーションコマンド ip dhcp snooping database url で保存先を MC に変更します 6. save コマンドでコンフィグレーションを保存します 7. 装置を再起動します MC 内のバインディングデータベースが復元されます 注 保存契機および書き込み指定時間については, コンフィグレーションガイド Vol.2 を参照してください 55

70 (b) MC に保存できない 表 3-22 バインディングデータベースの保存先が MC の場合 項番 確認内容 コマンド 対応 1 運用コマンド show ip dhcp snooping binding で保存時間を確認してください Agent URL に " - " を表示している場合は, 項番 2 へ 保存契機 から, コンフィグレーションで設定した書き込み指定時間 が経過していないため, 保存を実施していない可能性があります しばらくおまちください 保存契機 から, 書込み指定時間 が満了している場合で Last succeeded time : - の場合は, 項番 3 へ Last succeeded time : 時間が保存契機より以前の時間の場合は, 項番 3 へ 2 運用コマンド show running-config でコンフィグレーションを確認してください 3 運用コマンド show logging でバインディングデータベース保存の運用ログを確認してください ip dhcp snooping database url mc が設定されている場合は, 項番 3 へ 設定されていない場合は, コンフィグレーションコマンド ip dhcp snooping database url mc < 保存ファイル名 > を設定してください It was not able to store binding database in mc.<retry> <reason> がある場合は,MC への保存に失敗しています <reason> に MC is not inserted. が表示されている場合は,MC が挿入されていないか, 半挿し状態の可能性があります 未挿入の場合は MC を挿入してください MC を挿入している場合は, いったん MC を取り外し, カチッ と音がするまで挿入してください ( 挿入時は強く押したり, 指ではじいたりしないでください ) 項番 5 へ <reason> に Can't access to MC by write protection. が表示されている場合は,MC が書き込み禁止状態になっています MC をいったん外して, スイッチを Lock 状態と逆側に動かして書き込み禁止状態を解除し, 再度装置に挿入してください ( 挿入時は強く押したり, 指ではじいたりしないでください ) 項番 5 へ <reason> に MC file is not writing. が表示されている場合は, 空き容量不足の可能性があります 項番 4 へ 4 運用コマンド show mc で MC の空き容量を確認してください 5 運用コマンド backup を実行し, バックアップ終了後に運用コマンド show mc-file を実行してみてください 1 M バイト以下の場合は, 運用コマンド del で不要なファイルを削除してから, 再度実行してください 項番 5 へ 運用コマンド backup で指定したファイルのほかに, コンフィグレーションコマンド ip dhcp snooping database url mc で指定したファイルがあれば, バインディングデータベースが保存されています 保存されていなかった場合は,MC が壊れている可能性があります 項番 6 へ 56

71 項番 確認内容 コマンド 対応 6 運用コマンド format mc を実行してみてください 何もメッセージが表示されず, プロンプトのみ表示された場合は,MC のフォーマットは正常終了しています 項番 5 を実行してみてください Can't gain access to MC. が表示された場合は,MC をいったん取り出し,MC および MC スロットにほこりなどが付着していないか確認してください ほこりが付着している場合は, 乾いた布でほこりを取ってから, 再度 MC をスロットに挿入してください 挿入後, 再度運用コマンド format mc を実行してください Can't execute. が表示された場合は,MC をいったん取り出し,MC および MC スロットにほこりなどが付着していないか確認してください ほこりが付着している場合は, 乾いた布でほこりを取ってから, 再度 MC をスロットに挿入してください 挿入後, 再度運用コマンド format mc を実行してください 同じメッセージが表示された場合は,MC が壊れている可能性があります 別の MC に交換してください 注 保存契機および書き込み指定時間については, コンフィグレーションガイド Vol.2 を参照してください (3) バインディングデータベースを復元できない場合 DHCP snooping 機能使用時に, バインディングデータベースを復元できない場合は, 次の表に従って対処してください (a) 内蔵フラッシュメモリから復元できない表 3-23 バインディングデータベースの保存先が内蔵フラッシュメモリの場合 項番 確認内容 コマンド 対応 1 運用コマンド show ip dhcp snooping binding で保存時間を確認してください 2 運用コマンド show running-config でコンフィグレーションを確認してください 3 運用コマンド show logging でバインディングデータベース復元の運用ログを確認してください Agent URL に " - " を表示している場合は, 項番 2 へ Last succeeded time の保存時間が古すぎる場合は, 項番 3 へ ip dhcp snooping database url flash が設定されている場合は, 項番 3 へ 設定されていない場合は, コンフィグレーションコマンド ip dhcp snooping database url flash を設定してください It was not able to restore binding database from flash. がある場合, 復元に失敗しています 内蔵フラッシュメモリに保存したバインディングデータベースが壊れている可能性があります DHCP クライアント端末側で IP アドレスの解放を実行してください (Windows の場合は, コマンドプロンプトから ipconfig/release, ipconfig/renew を実行 ) 57

72 (b) MC から復元できない 表 3-24 バインディングデータベースの保存先が MC の場合 項番 確認内容 コマンド 対応 1 運用コマンド show ip dhcp snooping binding で保存時間を確認してください 2 運用コマンド show running-config でコンフィグレーションを確認してください 3 運用コマンド show logging でバインディングデータベース復元の運用ログを確認してください Agent URL に " - " を表示している場合は, 項番 2 へ Last succeeded time の保存時間が古すぎる場合は, 項番 3 へ ip dhcp snooping database url mc が設定されている場合は, 項番 3 へ 設定されていない場合は, コンフィグレーションコマンド ip dhcp snooping database url mc < 保存ファイル名 > を設定してください It was not able to restore binding database from mc.<retry><reason> がある場合,MC からの復元に失敗しています <reason> に MC is not inserted. が表示されている場合は,MC が挿入されていないか, 半挿し状態の可能性があります 未挿入の場合は MC を挿入してください MC を挿入している場合は, いったん MC を取り外し, カチッ と音がするまで挿入してください ( 挿入時は強く押したり, 指ではじいたりしないでください ) 項番 4 へ <reason> に MC file is not found. が表示されている場合は, ファイルの入っていない MC を挿入しているか, コンフィグレーションコマンド ip dhcp snooping database url mc で指定したファイル名と異なるファイルの MC が挿入されています バインディングデータベースを保存した MC に交換してください 項番 4 へ 上記以外の <reason> が表示されている場合は,MC からの復元に失敗しています 項番 4 へ 4 装置を再起動してみてください <reason> に MC file is not reading. が表示されている場合は,MC に 保存したファイルまたは MC が壊れている可能性があります DHCP クライアント端末側で IP アドレスの解放を実行してください (Windows の場合は, コマンドプロンプトから ipconfig/release, ipconfig/renew を実行 ) ホワイトリスト機能の通信障害 (1) 運用状態で通信できないホワイトリスト機能の運用状態で通信ができない場合は, 次の表に従って対処してください 表 3-25 ホワイトリスト機能運用状態の障害解析方法 項番 確認内容 コマンド 対応 1 運用コマンド show white-list miss-hit で未学習パケット情報を確認してください 未学習パケット情報として採取されていた場合, 項番 2 へ 上記以外の場合, 項番 3 へ 58

73 項番 確認内容 コマンド 対応 2 ホワイトリストに当該端末が学習されていませんので追加してください 再度学習状態に設定して学習するか, コンフィグレーションコマンド white-list data でエントリを追加してください 上記以外の場合, 項番 3 へ 3 上記以外 本装置で使用している他の機能で障害が発生している可能性があります ご使用の機能を確認してください 注 1 white-list data による追加 削除については, コンフィグレーションガイドガイド Vol.2 を参照してください ホワイトリスト機能 (2) 学習状態で学習しない ホワイトリスト機能の学習状態で学習できない場合は, 次の表に従って対処してください 表 3-26 ホワイトリスト機能学習状態の障害解析方法 項番 確認内容 コマンド 対応 1 運用コマンド show white-list address で "Total entry" を確認してください "Total entry" が収容条件に達していないことを確認してください 達している場合は当該端末が学習されていません コンフィグレーションコマンド white-list data で不要なエントリを削除してください または, ホワイトリスト適用装置を増設してください 上記以外の場合, 項番 2 へ 2 運用コマンド show white-list packet で "Total entry" を確認してください "Total entry" が収容条件に達していないことを確認してください 達している場合は当該端末が学習されていません コンフィグレーションコマンド white-list data で不要なエントリを削除してください または, ホワイトリスト適用装置を増設してください 上記以外の場合, 項番 3 へ 3 当該端末のポートの trust ポート設定を確認してください trust ポートが設定されている場合, ホワイトリスト対象外ポートとしての正常動作です 当該ポートで学習したい場合は, コンフィグレーションを変更してください trust ポートが設定されていない場合, 項番 4 へ 4 当該端末のポートの trust モード設定を確認してください trust モードが設定されている場合, ホワイトリスト対象外プロトコルとしての正常動作です 当該ポートで学習したい場合は, コンフィグレーションを変更してください trust モードが設定されていない場合, 項番 5 へ 5 当該端末のポートのアクセスリストの設定を確認してください アクセスリストが設定されている場合, アクセスリストの permit/deny 条件が優先されています ( 正常動作です ) 当該ポートで学習したい場合は, コンフィグレーションを変更してください アクセスリストが設定されていない場合, 項番 6 へ 6 上記以外 本装置で使用している他の機能で障害が発生している可能性があります ご使用の機能を確認してください 注 1 white-list data による追加 削除については, コンフィグレーションガイドガイド Vol.2 を参照してください ホワイトリスト機能 59

74 3.10 冗長構成による高信頼化機能の通信障害 アップリンク リダンダント使用時の通信障害 アップリンク リダンダント使用時, 意図したとおりに切り替えできないときは, 次の表に示す障害解析に従って原因の切り分けを行ってください 表 3-27 アップリンク リダンダントの障害解析方法 項番 確認内容 コマンド 対応 1 運用コマンド show switchport-backup でプライマリ セカンダリペア情報を確認してください 2 運用コマンド show running-config でアップリンク リダンダントの設定内容を確認してください 3 該当ポートのリンクデバウンス設定を確認してください 4 プライマリポートへ自動切り戻しまたはタイマ切り戻しができないとき, 運用コマンド show switchport-backup でプライマリポートの Status 表示を確認してください 5 プライマリポートの上位スイッチでスパニングツリーが動作していないか確認してください 6 上位スイッチがフラッシュ制御フレームを受信可能か確認してください 7 本装置のフラッシュ制御フレーム送信設定を確認してください ペア情報が表示されない : 項番 2 へ ぺア情報が表示されている 物理ポートのリンクダウン後, 運用コマンド show switchport-backup のポート Status 表示がすぐに変わらないとき : 項番 3 へ プライマリポートのリンクアップ後, 自動切り戻しまたはタイマ切り戻しができないとき : 項番 4 へ セカンダリポートにポートチャネルインタフェースを指定 : 該当ポートチャネルインタフェースのコンフィグレーションが設定されていない可能性があります 該当ポートチャネルインタフェースのコンフィグレーションを確認し, 未設定の場合は設定してください コンフィグレーションコマンド link debounce 未設定 ( デフォルト 2000 ミリ秒で動作 ) または 2000 ミリ秒より長い設定のときは, 短い時間に変更してみてください Blocking 表示 : Preemption の Delay に " - " を表示しているときは, 自動切り戻しもタイマ切り戻しも未設定です コンフィグレーションコマンド switchport backup interface で設定してください Preemption の Limit 時間が 0 以外のときは, 切り戻しまでの時間に達していません しばらくお待ちください または, 運用コマンド set switchport-backup active を実行してみてください Down 表示 : リンクダウンしています 上位スイッチの状態やケーブル接続などを確認してください 上記に該当しない場合は, 項番 5 へ スパニングツリーが動作している場合は, リンクダウンから復帰すると Listening または Learning 状態となるため, すぐには通信できません 上位スイッチでスパニングツリーを動作しているときは, タイマ切り戻し時間を 30 秒以上に設定してご使用ください 上記に該当しない場合は, 項番 6 へ 受信可能の場合 : 項番 7 へ 受信不可の場合 : 項番 8 へ 未設定の場合 : 上位スイッチの MAC アドレステーブルがエージングされるまでしばらくお待ちください 設定済みの場合 : フラッシュ制御フレーム送信を設定したポートおよび送信 VLAN の設定内容を確認してください 間違っていた場合は, 設定しなおしてください 60

75 項番 確認内容 コマンド 対応 8 本装置の MAC アドレスアップデートフレームの送信設定を確認してください 未設定の場合 : 上位スイッチの MAC アドレステーブルがエージングされるまでしばらくお待ちください 設定済みの場合 : 端末接続ポートで MAC アドレスを学習した VLAN が, アップリンクポートに含まれているか確認してください 含まれていない場合は, 設定しなおしてください アップリンクポートのペア ( プライマリ セカンダリ ) に, 同じ VLAN を設定しているか確認してください 違っていた場合は, 同じ VLAN を設定しなおしてください 上記に該当しない場合は, 項番 9 へ 9 運用コマンド show switchport-backup mac-address-table update statistics で "Transmission over flows" が計上されているか確認してください 計上されている場合は,MAC アドレスアップデートフレームの対象 MAC アドレスが 1,024 件を超えています 対象外 MAC アドレスを VLAN 単位で削減できる場合対象外 VLAN を設定してください 対象外 VLAN を設定できない場合上位スイッチの MAC アドレステーブルがエージングされるまでしばらくお待ちください 61

76 3.11 SNMP の通信障害 SNMP マネージャから MIB の取得ができない コンフィグレーションが正しく登録されていることを確認してください SNMPv1, または SNMPv2C を使用する場合運用コマンド show running-config を実行し, コミュニティ名とアクセスリストが正しく登録されているかどうかを確認してください アクセスを許可する SNMP マネージャの IP アドレスを制限しない場合は, アクセスリストの設定は不要です 登録されていない場合は, コンフィグレーションコマンド snmp-server community を実行して, SNMP マネージャに関する情報を設定してください # show running-config : : ip access-list standard SNMPMNG permit host snmp-server community "NETWORK" ro SNMPMNG # SNMPv3 を使用する場合運用コマンド show running-config を実行し, 本装置のコンフィグレーションに SNMP に関する情報が正しく設定されているかどうかを確認してください 正しく設定されていない場合は, 以下のコンフィグレーションコマンドを実行して,SNMP に関する情報を設定してください snmp-server engineid local snmp-server view snmp-server user snmp-server group # show running-config : : snmp-server engineid local "engine-id" snmp-server group "v3group" v3 priv read "view1" write "view1" snmp-server user "v3user" "v3group" v3 auth md5 "abc*_1234" priv des "xyz/ +6789" snmp-server view "view1" included! : : # SNMP マネージャでトラップが受信できない コンフィグレーションが正しく登録されていることを確認してください SNMPv1, または SNMPv2C を使用する場合運用コマンド show running-config を実行し, 本装置のコンフィグレーションに SNMP マネージャおよびトラップに関する情報が登録されているかどうかを確認してください 登録されていない場合は, コンフィグレーションコマンド snmp-server host を実行して,SNMP マネージャおよびトラップに関する情報を設定してください # show running-config : 62

77 : snmp-server host traps "event-monitor" snmp # SNMPv3 を使用する場合運用コマンド show running-config を実行し, 本装置のコンフィグレーションに SNMP に関する情報およびトラップに関する情報が正しく設定されているかどうかを確認してください 正しく設定されていない場合は, 以下のコンフィグレーションコマンドを実行して,SNMP に関する情報およびトラップに関する情報を設定してください snmp-server engineid local snmp-server view snmp-server user snmp-server group snmp-server host # show running-config : : snmp-server engineid local "engine-id" snmp-server group "v3group" v3 priv notify "view1" snmp-server host traps "v3user" version 3 priv snmp snmp-server user "v3user" "v3group" v3 auth md5 "abc*_1234" priv des "xyz/ +6789" snmp-server view "view1" included! : : # SNMPv3 を使用できなくなった場合 コンフィグレーションコマンド snmp-server engineid local が入力された直後, または装置起動時に不慮のリブート ( 停電など ) が発生すると, 内蔵フラッシュメモリに記録しているエンジン ID やエンジン ID 変更後の起動回数を壊す可能性があります SNMPv3 を使用できなくなった場合は, コンフィグレーションガイド Vol.2 SNMP を使用したネットワーク管理 で SNMP エンジン ID の修復手順 を参照し, エンジン ID を修復してみてください 63

78 3.12 sflow 統計 ( フロー統計 ) 機能のトラブルシューティング 本装置で,sFlow 統計機能のトラブルシューティングをする場合の流れは次のとおりです 図 3-7 sflow 統計機能のトラブルシューティングの流れ sflow パケットがコレクタに届かない (1) コレクタまでの経路確認 通信できない, または切断されている および 通信できない, または切断されている を参照し, コレクタに対してネットワークが正しく接続されているかを確認してください もし, コンフィグレーションで sflow パケットの最大サイズ (sflow max-packet-size) を変更している場合は, 指定しているパケットサイズでコレクタまで接続できるか確認してください (2) 運用コマンドでの動作確認 運用コマンド show sflow を数回実行して sflow 統計情報を表示し,sFlow 統計機能が稼動しているか確認してください 下線部の値が増加していない場合は, 後述の (3) コンフィグレーションの確認 を参照してください 増加している場合は, 通信できない, または切断されている, 通信できない, または切断されている, および後述の (5) コレクタ側の設定確認 を参照し, コレクタに対してネットワークが正しく接続されているかを確認してください 図 3-8 運用コマンド show sflow の表示例 > show sflow Date 20XX/06/01 02:46:42 UTC sflow service status: enable Progress time from sflow statistics cleared: 0:03:42 sflow agent data : sflow service version: 4 CounterSample interval rate: 20 seconds Default configured rate: 1 per packets Default actual rate : 1 per packets Configured sflow ingress ports: 0/1,0/5 Configured sflow egress ports : ---- Received sflow samples: 3 Dropped sflow samples : 0 Exported sflow samples: 3 Couldn't export sflow samples: 0 Overflow time of sflow queue: 0 seconds 64

79 sflow collector data : Collector IP address: UDP: 6343 Source IP address: Send FlowSample UDP packets : 3 Send failed packets: 0 Send CounterSample UDP packets: 23 Send failed packets: 0 Collector IP address: UDP: 6343 Source IP address: Send FlowSample UDP packets : 3 Send failed packets: 0 Send CounterSample UDP packets: 23 Send failed packets: 0 > 注下線部の値が, 増加していることを確認してください (3) コンフィグレーションの確認 以下の内容について, 運用中のコンフィグレーションを確認してください コンフィグレーションに,sFlow パケットの送信先であるコレクタの IP アドレスと UDP ポート番号が正しく設定されていることを確認してください 図 3-9 コンフィグレーションの表示例 1 (config)# show sflow destination sflow sample 2048! : (config)# コレクタの情報が正しく設定されていること サンプリング間隔が設定されていることを確認してください サンプリング間隔が設定されていないと, デフォルト値 (= 大きな値 ) で動作するため値が大き過ぎ, フローサンプルがコレクタにほとんど送信されません そのため, 適切なサンプリング間隔を設定してください ただし, 推奨値より極端に小さな値を設定した場合,CPU 使用率が高くなる可能性があります 図 3-10 コンフィグレーションの表示例 2 (config)# show sflow destination sflow sample 2048 適切なサンプリング間隔が設定されていること! : (config)# 図 3-11 運用コマンドの表示例 > show sflow Date 20XX/06/01 02:47:51 UTC sflow service status: enable Progress time from sflow statistics cleared: 0:04:51 sflow agent data : sflow service version: 4 CounterSample interval rate: 20 seconds Default configured rate: 1 per 2048 packets Default actual rate : 1 per 2048 packets Configured sflow ingress ports: 0/1,0/5 Configured sflow egress ports : ---- Received sflow samples: 3 Dropped sflow samples : 0 Exported sflow samples: 3 Couldn't export sflow samples: 0 : > 注下線部に, 適切なサンプリング間隔が表示されていることを確認してください 65

80 フロー統計を行いたい物理ポートに対し,"sflow forward" が設定されていることを確認してください 図 3-12 コンフィグレーションの表示例 3 (config)# show interface gigabitethernet 0/2 interface gigabitethernet 0/2 switchport mode access sflow forward ingress! (config)# ここに "sflow forward" が設定されていること フロー統計を行いたい物理ポートに対し,"filter" が設定されていないことを フィルタ QoS 設定情報の確認 を参照して確認してください "sflow source" によって,sFlow パケットの送信元 ( エージェント )IP アドレスを指定した場合, その IP アドレスが本装置のポートに割り付けられていることを確認してください 図 3-13 図 3 13 コンフィグレーションの表示例 4 (config)# show : sflow destination sflow sample 2048 sflow source 本装置のポートに割り付けられているIPアドレスであること! : (config)# (4) ポート状態の確認 運用コマンド show interfaces を実行し,sFlow 統計で監視する本装置の物理ポートやコレクタとつながる物理ポートの up/down 状態が,"active"( 正常動作中 ) であることを確認してください 図 3-14 ポート状態の表示例 > show interfaces gigabitethernet 0/5 Date 20XX/06/01 15:02:35 UTC Port 0/5 : active up 1000BASE-T full(auto) 00eb.f Time-since-last-status-change:1:47:47 Bandwidth:10000kbps Average out:5mbps Average in:5mbps Peak out:5mbps at 15:44:36 Peak in:5mbps at 15:44:18 Output rate: kbps 16.8kpps Input rate: kbps 16.8kpps Flow control send :off Flow control receive:off TPID:8100 : > 注下線部が,"active" または "active up" であることを確認してください ポートが down 状態の場合は, 通信できない, または切断されている および 通信できない, または切断されている を参照してください (5) コレクタ側の設定確認 コレクタ側で UDP ポート番号 ( デフォルト値は 6343) が受信可能になっているか確認してください 受信可能になっていない場合,ICMP([Type]Destination Unreachable [Code]Port Unreachable) が本装置に送られます その他, 利用しているコレクタ側の設定が正しいか確認してください 66

81 フローサンプルがコレクタに届かない sflow パケットがコレクタに届かない を確認しても解決しない場合は, 以下を確認してください (1) 中継パケット有無の確認 運用コマンド show interfaces を実行し, パケットが中継されているか確認してください 図 3-15 ポート状態の表示例 > show interfaces gigabitethernet 0/5 Date 20XX/06/01 15:02:35 UTC Port 0/5 : active up 1000BASE-T full(auto) 00eb.f Time-since-last-status-change:1:47:47 Bandwidth:10000kbps Average out:5mbps Average in:5mbps Peak out:5mbps at 15:44:36 Peak in:5mbps at 15:44:18 Output rate: kbps 16.8kpps Input rate: kbps 16.8kpps Flow control send :off Flow control receive:off TPID:8100 : > 注下線部の表示で, パケットが中継されていることを確認してください (2) コレクタ側の設定確認 利用しているコレクタ側の設定が正しいか確認してください カウンタサンプルがコレクタに届かない (1) カウンタサンプルの送信間隔の確認 本装置のコンフィグレーションで, フロー統計に関するカウンタサンプルの送信間隔の情報が0になっていないかを確認してください この値が0になっているとカウンタサンプルのデータがコレクタへ送信されません 図 3-16 コンフィグレーションの表示例 (config)# show : sflow destination sflow sample 2048 sflow polling-interval 60 ここに0が設定されていないこと! : (config)# 67

82 3.13 隣接装置管理機能の通信障害 LLDP 機能により隣接装置情報が取得できない LLDP 機能で隣接装置の情報が正しく取得できない場合は, 次の表に示す障害解析方法に従って原因の切り分けを行ってください 表 3-28 LLDP 機能使用時の障害解析方法 項番 確認内容 コマンド 対応 1 運用コマンド show lldp を実行し, LLDP 機能の動作状態を確認してください 2 運用コマンド show lldp を実行し, ポート情報を確認してください Status が Enabled の場合は項番 2 へ 応答メッセージ LLDP is not configured を表示した場合は,LLDP 機能が停止状態となっています LLDP 機能を有効にしてください 隣接装置が接続されているポート情報が表示されている場合は項番 3 へ 隣接装置が接続されているポート情報が表示されていない場合は, 該当ポートが LLDP 機能の動作対象外となっています 該当ポートに対し LLDP 機能を有効にしてください 3 運用コマンド show lldp statistics を実行し, 隣接装置が接続されているポートの統計情報を確認してください Tx カウントは増加し Rx カウントが増加しない場合は, 隣接装置側でも項番 1 から項番 3 を調査してください 隣接装置側でも Tx カウントが増加している場合は, 装置間の接続が誤っている可能性があるので接続を確認してください Discard カウントが増加している場合は, 装置間の接続を確認してください その他の場合は項番 4 へ 4 運用コマンド show lldp を実行し, 隣接装置が接続されているポート情報のポート状態を確認してください 5 運用コマンド show lldp を実行し, 隣接装置が接続されているポートの隣接装置情報数を確認してください Link が Up 状態の場合は項番 5 へ Link が Down 状態の場合は回線状態を確認してください 確認方法は 3.4 ネットワークインタフェースの通信障害 を参照してください Neighbor Counts が 0 の場合は隣接装置側で項番 1 から項番 5 を調査してください 隣接装置側でも隣接装置情報数が 0 の場合は, 装置間の接続が誤っている可能性があるので接続を確認してください フィルタによって特定のパケットが廃棄されているか, または QoS 制御のシェーパによってパケットが廃棄されている可能性があります コンフィグレーションのフィルタおよび QoS 制御の設定条件が正しいか, システム構築でのシェーパのシステム運用が適切であるかを確認してください 手順については フィルタ QoS 設定情報の確認 を参照してください 68

83 3.14 NTP の通信障害 NTP サーバから時刻情報が取得できない NTP サーバから時刻情報が取得できない場合は, 次の表に示す障害解析方法に従って原因の切り分けを行ってください (1) SNTP 動作モードで運用時 (SNTP クライアント機能 ) 表 3-29 NTP の障害解析方法 項番 確認内容 コマンド 対応 1 運用コマンド show clock でタイムゾーンの設定があることを確認してください 2 運用コマンド show ntp-client で NTP サーバからの取得状況を確認してください 3 NTP サーバとの IPv4 による通信を確認してください コマンドの表示結果にタイムゾーンが設定されている場合は項番 2 へ コマンドの表示結果にタイムゾーンが設定されていない場合はタイムゾーンの設定をしてください NTP Execute History の最も新しい履歴の Status が Timeout または Error を表示している場合は, 項番 3 へ NTP サーバと本装置間で IPv4 の通信が可能か, 運用コマンド ping で確認してください (2) NTP 動作モードで運用時 (NTP サーバ クライアント機能 ) 表 3-30 NTP の障害解析方法 項番 確認内容 コマンド 対応 1 上位 NTP サーバとの IPv4 による通信を確認してください 上位 NTP サーバと本装置間で IPv4 の通信が可能か, 運用コマンド ping で確認してください 上位 NTP サーバまたは本装置の設定で,UDP ポート番号 123 のパケットを廃棄する設定がないことを確認してください 上記以外の場合は, 項番 2 へ 2 本装置起動直後,NTP のコンフィグレーション設定直後, 上位 NTP サーバ側の時刻変更直後などの場合は, しばらく様子をみてください 3 本装置と上位 NTP サーバとの時刻差を確認してください 4 複数の上位 NTP サーバがある場合は, 上位 NTP サーバ間の時刻が同期していることを確認してください 5 図 3-17 NTP サーバ構成図 に示すように, 上位 NTP サーバが IPv6 を使用している場合は,refid の衝突を確認してください 時刻同期は, 正常動作時にも 20 分程度を要する場合があります 20 分以上経過しても時刻が同期しない場合は, 項番 3 へ 本装置と上位 NTP サーバとの時刻差が 1000 秒以内の場合は項番 4 へ 本装置と上位 NTP サーバとの時刻差が 1000 秒以上ある場合は, 運用コマンド set clock を使用して, 本装置の時刻を上位 NTP サーバと合わせてください 時刻が同期していなければ, 上位 NTP サーバ間の時刻を同期させてください 上記以外の場合は, 項番 5 へ 運用コマンド show ntp associations の refid の表示が, 本装置の IP アドレスと一致している場合は, 本装置の IP アドレスを変更するか, 上位 NTP サーバ 1 の (A) の IPv6 アドレスを変更してください (IPv6 を使用する場合,NTP プロトコルの制約により,2-32 の確率で衝突が発生します ) 69

84 図 3-17 NTP サーバ構成図 70